Cisco 担当者コラム
Cisco・Security
Security 第43回「Duo ってどうやって使うの?2」
今回はDuoをSAML認証で利用する場合の使い方についてご紹介していきたいと思います。
SAML(Security Assertion Markup Language)はユーザ認証に使用される通信プロトコルで、主にクラウドサービスの認証で広く用いられています。
最大の特徴は連携したサービス間において、一度のログインで複数のサービスが利用可能になるシングルサインオン(SSO)を実現できる点で、クラウドサービスの利用が増える昨今セキュリティだけではなく利便性の向上も図ることができます。
SAMLの主な構成要素としては、認証のリクエストを行うSAML SPと、認証サーバの役割となるSAML IdPの2つです。
SAML SPはAzureやWebexなどのクラウドサービスで、Duoはこれらのサービスからのリクエストを受けて認証を実施するSAML IdPとして動作するイメージです。
DuoをSAML IdPとして用いる場合、実はいろいろな導入パターンがあるのですが、オススメのパターンは「Duo Single Sign-on」という形態です。この構成ではDuoのクラウド環境をSAML IdPとして各クラウドサービスと認証を行います。
<Duo Single Sign-onのイメージ>
この際、Duo側ではユーザデータベースを持ちませんので、別途お客様でご用意いただく必要があります。例えば上記の例で言うとローカルのActive DirectoryとDuoを連携させるためにDuo Authentication Proxy(DAP)を使用します。
Duo CloudはSAML IdPとして各クラウドサービスからの認証リクエストを受けると、DAP経由で取得したADのユーザ情報を元に、要素1の認証を実施しつつ要素2として登録された所有要素認証や生体要素認証を実行して多要素認証(MFA)を実現する、という流れです。
このパターンのオススメポイントとしては、DAPはHTTPSのアウトバウンド方向でDuoクラウドと通信しますので、外部公開のサーバを建てたり、ファイアウォールに穴をあけたりする必要が無く、既存のローカルネットワークに対して変更が最小限で済むところです。
前回ご紹介したRADIUSでもDAPを利用しますので、実はDAPさえ建てればRADIUSもSAMLでも使えちゃうんですね。便利です。
ちなみに、実はこのDuo Single Sign-onは昨年末にベータ版から製品版に切り替わったばかりの仕組みでして、従来はDuoでSAMLというとDuo Access Gateway(DAG)というSAML IdPの役割をインストールしたサーバを外部公開で設置頂く形が主流でした。
この外部公開、という点はちょっとしたハードルになるかなと思いますので、Duo Single Sign-onが今後は主流になってくると思います。
Duo Single Sign-onについては下記のドキュメントにも記載がありますので、(英語ですが)もしよろしければこちらもご参照ください。
・Duo Single Sign-On
https://duo.com/docs/sso
今回は以上です。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は
をお読みください。Ciscoの記事
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」
- Security 第77回「Cisco Secure Client Cloud Managementのご紹介」
- Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」