F5 BIG IP APMゲートウェイを構成する
このタスクではF5コンソールを使用して、RADIUSと統合するようにF5 BIG IPを構成します。
手順
この構成には2つのパートがあります。
開始する前に
- 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
RADIUSサーバープロファイルを定義する
- 十分な権限でF5コンソールにサインインします。
- [Access(アクセス)]>[Authentication(認証)]>[RADIUS]に移動し、[Create...(作成...)]をクリックして新しいRADIUSサーバーを定義します。旧バージョンでは、[Access Policy(アクセスポリシー)]>[AAA Servers(AAAサーバー)]>[RADIUS]に移動します。
- 次の値を入力して、新しいRADIUSサーバーを作成します。
[Name(名前)] 一意で適切な名前(OktaMFA) [Mode(モード)] 認証 [Server Connection(サーバー接続)] 直接 [Server Address(サーバーアドレス)] Okta RADIUS Server AgentのIPまたは名前 [Authentication Service Port(認証サービスポート)] ポート(1812) [Secret(シークレット)] 上で定義したシークレットの値 [Confirm Secret(シークレットの確認)] 上で定義したシークレットの値 [NAS IP Address(NAS IPアドレス)] 任意:F5のIPアドレス [NAS Identifier(NAS識別子)] 任意:NASの識別子 [Timeout(タイムアウト)] 推奨:60秒 [Retries(再試行)] 2 - [Done(完了)]をクリックして設定を保存します。
アクセスポリシーを編集する
-
[Access(アクセス)]>[Profiles / Policies(プロファイル/ポリシー)]>[Access Profiles(アクセスプロファイル)]に移動します。
-
変更したいアクセスプロファイルを特定し、以下に示すように[Per-Session Policy(セッションごとのポリシー)]列で[Edit...(編集...)]リンクをクリックします。
- 以下の画面が開きます。[Logon Page(ログオンページ)]をクリックしてログオンページを編集します。
- 以下の画面が開きます。
- 次の選択で3番目の入力を有効にします。
[Type(タイプ)]:password
[Variable(変数)]:factor
[Login page input field(ログインページ入力フィールド)]:要素(例:<i>push、sms、123456</i>)
- 完了したら[Save(保存)]をクリックします。
-
以下に示すように、既存のRADIUS認証を編集するか、既存の認証シーケンスを、前の手順で作成したパスワードのみのRADIUSサーバーを指すRADIUS認証ステップに置き換えます。
- 最初の認証の後、以前に作成した要素のみのRADIUSサーバーを指す新しいRADIUS認証ステップを挿入します。[Password Source(パスワードソース)]の変数を、更新されたログオンページの入力である%{session.logon.last.factor}に合わせて変更します。
- [Save(保存)]をクリックして設定を保存します。
-
下図のように、左上の[Apply Access Policy(アクセスポリシーを適用)]ボタンをクリックします。