GlobalProtect: ワンタイムパスワードベースの二要素認証 - 常時オン
Resolution
OTP-Always-On モードでのベース認証の要求
GlobalProtect離脱モードで設定すると、 GlobalProtect ユーザーが
GlobalProtect エンドポイントにログインすると、エージェントは自動的にに接続します。 Always-On モードでは、 GlobalProtect
ユーザーが手動で接続または再検出ネットワーク オプションを選択したとき、または
構成された間隔 (既定の 24 時間) で定期的にポータルに接続します。 他のすべての時間(スリープ/ウェイクアップ、ログオフ/ログインなど)では、
GlobalProtect エージェントはゲートウェイにのみ話します。
ユースケース 1: OTP GlobalProtect Always-On モードでの認証の要求 RADIUS
OTP GlobalProtect 常時オン モードで認証を要求することは、エンドユーザーにとってさらに苦痛です。
エンドユーザーは OTP GlobalProtect 、
スリープ/ウェイクアップまたはネットワークの変更またはログオフ/ログインがあるたびに、接続しようとするたびにプロンプトが表示されます。 GlobalProtect認証の上書き機能を使用すると
、ユーザーが求められる回数を最小限に抑 OTP え、ユーザーエクスペリエンスを向上させます。
このユース ケースの推奨構成:
オプション 1:
- OTPポータルとゲートウェイの両方に認証を要求する
- ポータルで、
- ユーザーの資格情報の保存を "Yes" に設定する
- 認証のオーバーライドを有効にし、認証のオーバーライドと cookie の承認の両方を生成します。
- Cookie の有効期間を ' N 時間' に設定します。 ' N ' 時間は、ユーザーが資格情報の入力を求めないようにする時間です。 提供する N ユーザー エクスペリエンスに基づいて ' を選択します。 通常24時間はクッキーの寿命のためのよい価値であることができる。
- 考察:
- RADIUS/ OTP サーバーがユーザー名とパスワードを要求するように設定されている場合、 OTP そして、チャレンジを待たずに一度にすべて、ポータルで
- ユーザーの資格情報を保存するように設定します。
- [動的パスワードが必要なコンポーネント] で、それらのコンポーネント GlobalProtect を有効に OTP します。 たとえば、ポータル ゲートウェイと外部ゲートウェイ自動検出のチェックボックスをオンにすると、ポータル ゲートウェイと自動検出ゲートウェイが必要なコンポーネントのみである OTP 場合です。
- RADIUS/ OTP サーバーがユーザー名とパスワードを要求するように設定されている場合、 OTP そして、チャレンジを待たずに一度にすべて、ポータルで
- ゲートウェイでは、
- 認証のオーバーライドを有効にし、認証のオーバーライドと cookie の承認の両方を生成します。
- Cookie の有効期間を ' N 時間' に設定します。 通常24時間はクッキーの寿命のためのよい価値であることができる。
- 同じ証明書を使用して、ポータルとゲートウェイの両方で cookie を暗号化/復号化するようにしてください。
- 注: 認証 Cookie の暗号化と復号化専用の証明書を使用すると、認証の上書きに使用される証明書を失効する必要がある場合に柔軟性が得られます。
この GlobalProtect 構成で、ユーザーに OTP ユーザー名/パスワードの入力を要求するようにサーバーを構成し、チャレンジ後にのみ必要とするように構成すると OTP 、エンド ユーザーエクスペリエンスは次のようになります。
オプション 2:
- OTPポータルおよび手動ゲートウェイのみの必要
- 自動検出ゲートウェイの証明書と Active Directory 資格情報を要求する
- ポータルで、
- ユーザーの資格情報の保存を "Yes" に設定する
- 認証のオーバーライドを有効にし、認証のオーバーライドと cookie の承認の両方を生成します。
- クッキーの有効期間を ' ' 日に設定 N します。 ' N ' は、ユーザーが資格情報の入力を求めないようにする期間です。 提供する N ユーザー エクスペリエンスに基づいて ' を選択します。 通常14日はクッキーの寿命のためのよい価値であることができる。
- 考察:
- RADIUS/ OTP サーバーがユーザー名とパスワードを要求するように設定されている場合、 OTP そして、チャレンジを待たずに一度にすべて、ポータルで
- ユーザーの資格情報を保存するように設定します。
- [動的パスワードが必要なコンポーネント] で、それらのコンポーネント GlobalProtect を有効に OTP します。 たとえば、ポータル ゲートウェイと外部ゲートウェイ自動検出のチェックボックスをオンにすると、ポータル ゲートウェイと自動検出ゲートウェイが必要なコンポーネントのみである OTP 場合です。
- 自動検出ゲートウェイへの認証に必要なクライアント証明書がまだ配布されていない場合は、 の使用を検討 SCEP してください。
- この SCEP 発行された証明書は、自動検出ゲートウェイのクライアント証明書として使用できます。
- 証明書の SCEP 更新期間を 10 日間に設定します。
- RADIUS/ OTP サーバーがユーザー名とパスワードを要求するように設定されている場合、 OTP そして、チャレンジを待たずに一度にすべて、ポータルで
- 自動検出ゲートウェイでは、
- 証明書と /認証の両方を要求 AD LDAP する
- 認証のオーバーライドを有効にし、認証のオーバーライドと cookie の承認の両方を生成します。
- Cookie の有効期間を ' N 時間' に設定します。 通常24時間はクッキーの寿命のためのよい価値であることができる。
- 同じ証明書を使用して、ポータルとゲートウェイの両方で cookie を暗号化/復号化するようにしてください。
- マニュアルのみのゲートウェイでは、
- 認証を要求 OTP する
- 認証のオーバーライドのためにクッキーの生成を有効にしないでください。
この GlobalProtect 構成で、ユーザー OTP が 最初にユーザー名/パスワードを提供することを要求し、チャレンジ後にのみ必要とするようにサーバーを構成すると OTP 、エンド ユーザーエクスペリエンスは次のようになります。
ユース ケース 2: OTP GlobalProtect オンデマンド モードでの認証の要求 SAML
の SAML ベース認証を実現するもう 1 つの方法を使用 OTP GlobalProtect します。
SAMLサポート GlobalProtect と推奨構成の詳細については、こちらをチェックしてくださいGlobalProtect: ワンタイムパスワードベースの二要素認証
RADIUS または SAML のサポート GlobalProtect では、 への OTP 接続時にベース認証を実現することができます GlobalProtect が、 多要素認証 ( MFA ) は OTP 、特定のリソースにアクセスする際に要求する方法を提供します。 これについては、次の記事で詳しく説明します。