F5 BIG IP APMゲートウェイを構成する

F5コンソールを使用して、RADIUSと統合するようにF5 BIG IPを構成します。

手順

この構成には2つのパートがあります。

  1. RADIUSサーバープロファイルを定義する
  2. アクセスポリシーを編集する

はじめに

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

RADIUSサーバープロファイルを定義する

  1. 十分な権限でF5コンソールにサインインします。
  2. [Access(アクセス)][Authentication(認証)][RADIUS]に移動し、[Create…(作成)]をクリックして新しいRADIUSサーバーを定義します。旧バージョンでは、[Access Policy(アクセスポリシー)][AAA Servers(AAAサーバー)][RADIUS]に移動します。
  3. 次の値を入力して、新しいRADIUSサーバーを作成します。
    [Name(名前)] 一意で適切な名前(OktaMFA)
    [Mode(モード)]認証
    [Server Connection(サーバー接続)]直接
    [Server Address(サーバーアドレス)]Okta RADIUS Server AgentのIPまたは名前
    [Authentication Service Port(認証サービスポート)]ポート(1812)
    Secret(シークレット)Secret value(シークレット値)
    Confirm Secret(シークレットの確認)Secret value confirmation(シークレット値の確認)
    NAS IP Address(NAS IPアドレス)任意:F5のIPアドレス
    NAS Identifier(NAS識別子)任意:NASの識別子
    [Timeout(タイムアウト)]推奨:[60]
    [Retries(再試行)]2
  4. [Finish(終了)]をクリックして設定を保存します。

アクセスポリシーを編集する

  1. [Access(アクセス)][Profiles / Policies(プロファイル/ポリシー)][Access Profiles(アクセスプロファイル)]に移動します。

  2. 変更したいアクセスプロファイルを特定し、[Per-Session Policy(セッションごとのポリシー)]列で[Edit…(編集)]リンクをクリックします。

  3. 以下の画面が開きます。[Logon Page(ログオンページ)]をクリックします。

  4. 次の選択で3番目の入力を有効にします。
    • [Type(タイプ)]:パスワード

    • [Post/Session Variable Name(ポスト/セッション変数名)]要素

    • [Login Page Input Field(ログインページ入力フィールド)]:要素(例:<i>push、sms、123456</i>

  5. [Save(保存)]をクリックします。
  6. 既存のRADIUS認証を編集するか、既存の認証シーケンスを、パスワードのみのRADIUSサーバーを指すRADIUS認証ステップに置き換えます。

  7. 最初の認証の後、以前に作成した要素のみのRADIUSサーバーを指す新しいRADIUS認証ステップを挿入します。[Password Source(パスワードソース)]の変数を、更新されたログオンページの入力である%{session.logon.last.factor}に合わせて変更します。

  8. [Save(保存)]をクリックします。
  9. 左上隅にある[Apply Access Policy(アクセスポリシーを適用)]をクリックします。