Cisco 担当者コラム
Cisco・Security
Security 第42回「Duo ってどうやって使うの?1」
前回に引き続き、Duo Securityに関するご紹介をしていきたいと思いますが、今回からはもう少し具体的にどうやって使うものなの?という観点でご紹介させていただきます。
少しだけテクニカルな内容になりますがお付き合いいただけますと幸いです。
まずは、メインの多要素認証からご紹介していきますが、多要素認証という名前からもわかる通りDuoは認証サーバに近い役割を提供することになります。
私のようなネットワークエンジニアにも比較的イメージしやすいRADIUSプロキシとしてDuoを動かす場合についてイメージを図にまとめるとこんな感じになります。
この場合、実際にRADIUSサーバとしてASAの認証リクエストに応答する役割がDuo Authentication Proxy(DAP)です。
DAPは認証のリクエストを受けると1つ目の要素としてユーザ名/パスワードをActive Directoryなどの外部データベースと照合しつつ、2つ目の要素を使用した認証をクラウド経由で実行します。
どちらの認証も成功したところで、応答を返し認証が成功という流れになります。
多要素認証というとちょっと難しそうですが、Duoを使うことでかなりシンプルに実現できる、という点がなんとなくご理解いただけるかと思います!
ちなみに図の中で要素2として出てくるDuo Pushですが、こちらはスマートフォンにインストールして利用するDuo純正のアプリケーションです。特に日本企業では会社貸与のスマートフォンを使うケースも多いかと思いますので、追加費用なしで所有要素認証を実現できるツールとしてご利用頂けるのではと思います。
まずはDuo側ではユーザデータベースを持ちませんので、別途お客様でユーザデータベースをご用意いただくことが必要となります。こちらは基本的にActive Directoryのことだと思って頂ければ問題ありません。
また、DAPはWindowsやLinuxのサーバ上にインストールしていただくサービスとなりますので、DAPが動作するためのサーバをローカルにご用意いただくことが必要になります。
Windowsサーバでも動きますので、前述のActive Directoryが動いているサーバ上でDAPも動かしていただく形が構成上は一番シンプルかなと思います。
なお、DAPはOutbound方向でSSLを使用してクラウドに接続できる必要がありますので、ファイアウォールの要件についてもあらかじめご確認ください。
DAPのシステム要件については下記のドキュメントもご参照頂ければと思います。
・Authentication Proxy - Reference
https://duo.com/docs/authproxy-reference
ここまでRADIUSサーバとしてDAPを使うパターンをご紹介しましたが、同じようなイメージでDuoをSAML IdPとしても利用することも可能です。
ネットワークエンジニアとしてなんとなく苦手意識のあるSAMLですが、次回頑張ってまとめますので引き続きご覧いただけますと幸いです。
今回は以上です。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は
をお読みください。Ciscoの記事
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
- Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
- Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」