GlobalProtect: ワンタイムパスワードベースの二要素認証
Resolution
シヴァスカラン・ラジャセカラン著
バック グラウンド
企業は、ユーザーが企業のリソースにアクセスできるようにする前に、ワンタイムパスワード (OTPs) のような認証方法を強化する必要があります。 OTP企業は、ベース認証を要求することで、盗まれたユーザー資格情報を使用して不正アクセスを受けないようにすることができます。 ただし、必要な展開 OTP は、OTP を苦しいユーザー エクスペリエンスと考えるエンドユーザーからプッシュ バックされます。
目的
GlobalProtect は OTP 、ベース認証をサポートし、ユーザーエクスペリエンスを向上させる方法も提供します。 このドキュメントの目的は、企業の管理者に OTP さまざまな認証ワークフローに関する情報 GlobalProtect を提供し、 GlobalProtect セキュリティとコンプライアンスの要件を満たす認証シナリオを決定し、同時にユーザー エクスペリエンスを簡単かつシンプルに保つことです。
OTP の認証 GlobalProtect
GlobalProtect を OTP 介してベース RADIUS 認証 SAML をサポートし、これは GlobalProtect ベンダーに完全に依存しません OTP 。 GlobalProtect または を OTP 使用して有効にする限り、どのベンダーとでも作業できます RADIUS SAML 。 サービスの構成方法に応じて OTP 、ユーザーは次の 2 つのワーク フローのいずれかを使用して認証します。
- ユーザーは最初にユーザー名とパスワードを提供し、チャレンジ後にのみ OTP .を提供し、 OTP 承認またはトークンコードをプッシュすることができます SMS 。
- ユーザーは OTP 、チャレンジを待たずに一度にユーザー名、パスワードを提供します
GlobalProtect は、これらの両方のワーク フローをサポートします。
RADIUS これらの 2 つのワーク フローを達成するために Duo の設定例については、セクションの最後にある「Duo の設定例」を参照してください。
OTP Always-On モードでのベース認証の要求 – ここを参照
OTPオンデマンド モードでのベース認証の要求
GlobalProtectオンデマンド モードで展開すると、ユーザーは GlobalProtect 必要に応じて手動で接続します。 このモードは、リモート ユーザーが VPN 社内のデータ センター リソースにアクセスし、内部データ センター ネットワークに VPN アクセスする必要がなくなったときに切断するためにトンネルを設定する、一般的なセキュリティで保護されたリモート アクセスのユース ケースです。
ユースケース 1: OTP GlobalProtect オンデマンドモードでの認証の要求 RADIUS
オンデマンド接続方式では、 GlobalProtect エージェントは常に最初にポータルに対して認証を行い、次にゲートウェイに対する接続を開始するたびに認証を行 GlobalProtect います。 OTPポータルとゲートウェイの両方で認証を要求すると、ユーザーは OTP 2 回 (ポータルで 1 回、次にゲートウェイによって) プロンプトが表示されます。 ただし GlobalProtect PAN OS 、(7.1 および GlobalProtect 3.1 以降) 認証のオーバーライドは、ユーザーが認証を求められる回数を最小限に抑える機能です。 認証のオーバーライドの詳細については、次を参照してください: 拡張 2 要素認証
推奨構成:
- OTPポータルとゲートウェイの両方に認証を要求する
- ポータルで、
- ユーザーの資格情報を保存するように設定する "ユーザ名のみ保存"
- 認証のオーバーライドを有効にし、認証のオーバーライドと cookie の承認の両方を生成します。
- Cookie の有効期間を ' N 時間' に設定します。 ' N ' 時間は、ユーザーが資格情報の入力を求めないようにする時間です。 提供する N ユーザー エクスペリエンスに基づいて ' を選択します。
- ゲートウェイでは、
- 認証のオーバーライドを有効にし、認証のオーバーライドと cookie の承認の両方を生成します。
- Cookie の有効期間を ' N 時間' に設定します。
- 同じ証明書を使用して、ポータルとゲートウェイの両方で cookie を暗号化/復号化するようにしてください。
- 注: 認証 Cookie の暗号化と復号化専用の証明書を使用すると、認証の上書きに使用される証明書を失効する必要がある場合に柔軟性が得られます。
ゲートウェイ
この構成では、エンド ユーザーが 手動で への接続を開始すると、 GlobalProtect エンド ユーザーエクスペリエンスは次のようになります。
ワークフロー-1
ワークフロー-2
ユース ケース 2: OTP GlobalProtect オンデマンド モードでの認証の要求 SAML
PAN OS8.0 および GlobalProtect 4.0 以降では、 GlobalProtect 認証がサポート SAML されます。 を使用 SAML する場合 GlobalProtect 、エージェントは、IdPからログインページを提供 SAML し、ユーザが認証を完了できるように、Webビュー/埋め込みブラウザを開きます。 別のブラウザ(埋め込みブラウザ)であるため、
注意: GlobalProtect App 5.2+および Pan-OS 8.1.17、9.0.11、9.1.6、10.0以降のリリースでは、認証を使用する際に、組み込みブラウザではなくデフォルトのシステムブラウザを起動する機能がサポートされています SAML 。詳細については、 こちらをご覧ください。
- SAML 認証によって取得されたクッキー GlobalProtect は、 SSO 他の有効なアプリケーションに提供するために利用することはできません SAML 。
- SAML 認証によって取得されたクッキー GlobalProtect は、再起動とログアウトの間に保持されません。
を使用する場合でも透過的な認証を実現するには OTP SAML 、次の構成を推奨します。
- SAMLポータルとゲートウェイの両方に認証を要求する
- IdP の構成は、Cookie が有効な期間を決定 SAML します。 Cookie が SAML 永続化され、有効である限り、ユーザーは透過的な認証を使用します GlobalProtect 。
Okta を使用するための認証の設定方法については SAML GlobalProtect 、 こちら を参照 してください。
再起動とログアウトの間で透過的な認証を提供するには、認証の上書き機能を使用します。 GlobalProtect
- ポータルで、
- ユーザーの資格情報を保存するように設定する "ユーザ名のみ保存"
- 認証のオーバーライドを有効にし、認証のオーバーライドと cookie の承認の両方を生成します。
- Cookie の有効期間を ' N 時間' に設定します。 ' N ' 時間は、ユーザーが資格情報の入力を求めないようにする時間です。 提供する N ユーザー エクスペリエンスに基づいて ' を選択します。
- ゲートウェイでは、
- 認証のオーバーライドを有効にし、認証のオーバーライドと cookie の承認の両方を生成します。
- Cookie の有効期間を ' N 時間' に設定します。
- 同じ証明書を使用して、ポータルとゲートウェイの両方で cookie を暗号化/復号化するようにしてください。
- 注: 認証 Cookie の暗号化と復号化専用の証明書を使用すると、認証の上書きに使用される証明書を失効する必要がある場合に柔軟性が得られます。
- ポータルで、
OTP Always-On モードでの認証に関する推奨事項については GlobalProtect 、このシリーズの次の部分を参照してください。
デュオの設定例
Duo が 2 つのワーク フローを達成するための設定例:
の認証を提供するために Duo を設定する方法の詳細については OTP GlobalProtect 、 を参照 してください。
ワークフロー1:ユーザーは最初にユーザー名とパスワードを提供し、チャレンジ後にのみ OTP OTP .を承認するかトークンコードにプッシュすることができます SMS 。
ワーク フロー 2: ユーザーがチャレンジを OTP 待たずに一度にユーザー名、またはパスワードを提供する
[ad_client]
ホスト = AD- サーバー>
service_account_username =<administrator></administrator>
service_account_password =<administrator’s password=""></administrator’s>
search_dn= DC =アクメ DC 、=com
[duo_only_client]
[radius_server_challenge]
ikey =<duo-integration-key></duo-integration-key>
skey =<duo-security-key></duo-security-key>
api_host =<duo-host-name></duo-host-name>
radius_ip_1= firewall -mgmt-ip>
radius_secret_1 =<radius-secret></radius-secret>
クライアント = ad_client
failmode = セーフ
ポート = 1812