NetMotion Mobilityを構成してRADIUSを介したOktaとの相互運用を可能にする

本ガイドは、Okta Integration Network (OIN) NetMotion Moblity (RADIUS)アプリと組み合わせてOkta RADIUS Serverエージェントを使用するようNetMotion Mobilityを構成する方法を説明します。

はじめに

Okta RADIUS Agentをインストールする前に、ネットワーク接続に関する次の最小要件を満たしていることを確認してください。

ソース	宛先	ポート/プロトコル	説明
Okta RADIUS Agent	Okta Identity Cloud	TCP/443 HTTP	構成および認証トラフィック
クライアント・ゲートウェイ	Okta RADIUS Agent	UDP/1812 RADIUS （デフォルト、RADIUSアプリのインストールと構成で変更される場合があります）	ゲートウェイ（クライアント）とRADIUSエージェント（サーバー）間のRADIUSトラフィック

次の多要素認証オーセンティケーターがサポートされています。

Okta RADIUSと統合する場合、サポートされる登録済みオーセンティケーターの最大数は、結果のチャレンジ・メッセージのサイズによって異なります。同時に登録するのは8個以下にすることをお勧めします。

多要素認証オーセンティケーター	パスワード認証プロトコル PAP	拡張認証プロトコル - Generic Token Card EAP-GTC	拡張認証プロトコル - Tunneled Transport Layer Security EAP-TTLS
カスタムTOTP認証	サポート	サポート	サポート
Duo（プッシュ、SMS、パスコードのみ）	サポート	サポート対象外	サポート対象外
メール	サポート	サポート	サポート対象外
RADIUSは、メールによるインライン登録をサポートしていません。インライン登録を使用する場合は、メールを無効にするか、メール設定で[パスワード・リセット]を指定します。
Google Authenticator	サポート	サポート	サポート - チャレンジが回避される限り。たとえば、多要素認証のみ、またはパスワード、多要素認証。
Okta Verify（TOTPおよびPUSH）	サポート	サポート	サポート - チャレンジが回避される限り。例： TOTPの場合、多要素認証のみ、またはパスワード、多要素認証。プッシュ・チャレンジは帯域外で送信されるため、プッシュはプライマリ認証 + 多要素認証で機能します。
電話（SMSおよび音声通話）	サポート	サポート	サポート対象外

EAP-TTLSは登録をサポートしていません
EAP-TTLSが有効になっていて、Okta Verifyまたは電話が必須登録ポリシーとして指定されており、ユーザーがそのオーセンティケーターに登録されていない場合、認証は予期せず失敗します。

注

U2FセキュリティーおよびWindows Hello多要素認証要素は、RADIUS対応の実装と互換性がありません。
RADIUSアプリの詳細については、「OktaでRADIUSアプリケーションを構成する」を参照してください。

以下に示されている順にタスクを実行します。

タスク	説明
RADIUSエージェントのダウンロード	Okta orgの［Settings（設定）］>［Downloads（ダウンロード）］ページからOkta RADIUSエージェントをダウンロードします。Windows版およびLinux版のエージェントがあることにご注意ください。
Okta RADIUSエージェントのインストール	WindowsまたはLinux RADIUSエージェントをインストールします。
アプリケーションの構成	Okta orgで、NetMotion Mobilityアプリケーションを構成します。
RADIUS設定でNetMotionを構成	NetMotion Mobility Serverを使用して、NetMotion MobilityをRADIUSと連動するよう構成します。
信頼できるルートCAを追加	NetMotion Mobility VPNクライアントを実行するWindowsコンピューターで、Microsoft Management Console (MMC)を使用して必須の信頼できるルートCAを追加します。
接続の確認	エンドユーザーのNetMotion Mobilityクライアントが正しいサーバー設定であることを確認します。例：