Cisco ASAゲートウェイを構成する

このタスクでは、RADIUSサーバープロファイルの定義、Okta RADIUSエージェントの認証プロファイルの定義、ゲートウェイへのOkta RADIUS認証プロファイルの適用、Okta RADIUS認証プロファイルを使用するためのポータルの構成を行います。

手順

  1. AAAサーバーグループを定義する
  2. AAAサーバーグループにAAAサーバーを追加します。
  3. AAAサーバーグループを使用するようにAnyConnect接続プロファイルを変更する
  4. AnyConnectクライアントプロファイルを変更してタイムアウトを延長する

開始する前に

共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

AAAサーバーグループを定義する

  1. 十分な権限でVPNアプライアンスのCisco ASDMコンソールにサインインします。
  2. 次に示すように、構成(Configuration) > リモートアクセスVPN(Remote Access VPN) > AAA/ローカルユーザー(AAA/Local users) > AAAサーバーグループ(AAA server groups)に移動します。
  3. 追加(Add)をクリックし、新しいグループを作成します。下のようなAAAサーバーグループの追加(Add AAA Server Group)画面が表示されます。

  4. 以下を除き、デフォルト設定のままにします。

    • AAAサーバーグループ([AAA Server Group)]:MFAサーバーのグループを識別する名前を指定します。

    • プロトコル([Protocol)]:必要に応じてRADIUSを選択します。

AAAサーバーグループにAAAサーバーを追加します。

  1. OKをクリックして、上記の手順2に示したCisco ASDMコンソールに戻ります。
  2. リモートアクセスVPN(Remote Access VPN)をクリックし、AAA/ローカルユーザー(AAA/Local Users) > AAAサーバーグループ(AAA Server Groups)に移動します。前の手順で作成したサーバーグループを選択します。
  3. 追加(Add)をクリックします。以下の画面が開きます。
  4. 以下を除き、デフォルト設定のままにします。
    • インターフェイス名([Interface Name)]: MFAサーバーとの通信を処理するインターフェイスを選択します。
    • サーバー名またはIPアドレス([Server Name or IP Address)]:Okta RADIUSエージェントの名前またはIPアドレスを指定します。
    • [Timeout (seconds)(タイムアウト(秒))]:60秒
    • サーバー認証ポート([Server Authentication Port)]:Oktaでアプリをセットアップする際、上記の手順3で構成したポート番号を入力します。この例ではポート1812を使用しています。
    • サーバーアカウンティングポート([Server Accounting Port)]:1646。この値は使用されませんが、セットアップを完了するには入力する必要があります。
    • 再試行間隔([Retry Interval)]:デフォルトの60秒のままにします
    • サーバー秘密鍵([Server Secret Key)]:Oktaでアプリをセットアップする際に上記の手順3で定義したシークレットが入力されます。
    • 共通パスワード([Common Password)]:空白のままにします
    • Microsoft CHAPv2を有効にする(Microsoft CHAPv2 Capable)のチェックを外します(重要)。
  5. 完了したら、OKをクリックします。
  6. 適用(APPLY)をクリックして構成を保存します。

AAAサーバーグループを使用するようにAnyConnect接続プロファイルを変更する

この手順では、競合または矛盾している認可/認証/アカウンティング設定がないかについても確認します。

  1. VPNアプライアンスのCisco ASDMコンソールで、次のように構成(Configuration) > リモートアクセスVPN(Remote Access VPN) > ネットワーク(クライアント)アクセス(Network (Client) Access) > AnyConnect接続プロファイル(AnyConnect Connection Profiles)に移動します。

  2. 接続プロファイル(Connection Profiles)セクションで目的の接続プロファイルを反転表示し、プロファイル名のリストの上にある編集(Edit)をクリックします。以下の画面が開きます。

  3. 認証(Authentication)セクションで、方法(Method)を[AAA]に設定します。
  4. 以前に作成または変更したAAAサーバーグループを選択し、左側の列の詳細設定(Advanced)をクリックします。次の画面が表示されます。

  5. 左側のセカンダリ認証(Secondary Authentication)をクリックし、[Secondary Authentication Server Group(セカンダリ認証サーバーグループ)]が定義されていないことを確認します。

    セカンダリ認証サーバーグループ([Secondary Authentication Server Group)]を使用して、別のフローでMFAを実行する代替構成が存在します。この構成では、「セカンダリ」認証は、RADIUSチャレンジ/レスポンスメッセージを使ってメインのAAAサーバーグループのサーバーによって処理されます。

    その構成では、プライマリAAAサーバーグループは、1つのAAAサーバーグループに対してプライマリ認証(ユーザー名/パスワード)を実行するように構成されます。このAAAサーバーグループは、プライマリ認証の実行のみ(only)のために構成されるOkta RADIUS Serverエージェントに対して検証することができます。セカンダリAAAサーバーグループは、2番目のAAAサーバーグループに対してセカンダリ認証を行うように構成されています。このAAAサーバーグループは通常、プライマリ認証を実行しない(not)ように明示的に構成されているアプリを搭載したOkta RADIUS Serverであり、登録されている要素(プッシュ、Verify OTP、SMS OTPなど)を検証するためにのみ使用されます。

    この代替構成を使用する理由として、以下の2点が挙げられます。

    • プライマリ認証サーバーが、Oktaでは提供できない追加のアカウンティング、認可、または接続の詳細を提供している
    • コンプライアンス上の理由により、マルチステップ以外のMFAエクスペリエンスを使う必要がある
  6. 左側の認可(Authorization)をクリックし、以下のようにサーバーグループ(Server Group)の値がなし(None)に設定されていることを確認します。
  7. 左側のアカウンティング(Accounting)をクリックし、以下のようにアカウンティングサーバーグループ(Accounting Server Group)の値がなし(None)に設定されていることを確認します。
  8. OKをクリックして設定を保存します。

AnyConnectクライアントプロファイルを変更してタイムアウトを延長する

  1. Cisco ASA Admin Consoleで構成(Configuration)ボタンをクリックし、リモートアクセスVPN(Remote Access VPN)ボタンをクリックします。
  2. 次に示すように、ネットワーク(クライアント)アクセス(Network (Client) Access) > AnyConnectクライアントプロファイル(AnyConnect Client Profile)に移動し、目的のクライアントプロファイルをハイライト表示し、編集(Edit)をクリックします。
  3. 表示される画面で、次のようにPreferences (Part 2)(設定(パート2))を選択します。
  4. 下にスクロールして[Authentication Timeout (seconds)(認証タイムアウト(秒))]を探し、値を60に設定します。
  5. OKをクリックして設定を保存します。
  6. コミット(Commit)をクリックしてCisco ASA Admin ConsoleでOkta RADIUS構成を保存します。