こんにちはMeraki製品担当の林です。

今回はご質問いただくことが多いSecure ConnectへのリモートアクセスVPNにおける証明書認証の可否について解説してみたいと思います。

 

結論から先に書きますと、2025年5月現在SecureConnectではリモートアクセスVPNの接続時に証明書認証を使用することができません。これは、Secure ConnectのリモートアクセスVPNで利用できる認証プロトコルがSAMLのみに限られるという仕様があるためです。

 

SSL-VPNで証明書認証を行う場合、VPNクライアントはVPNサーバに対してクライアント証明書の提示を行い、VPNサーバがこの証明書の検証と、証明書に含まれるユーザ情報による認証を実施していました。

しかし、SAMLではVPNサーバが認証には関与せず、VPNクライアントをSAML IdPにリダイレクトします。認証はVPNクライアントとSAML IdP間で行われ、VPNサーバは認証が成功した場合にSAML Assertionとして結果を受け取ります。

つまり、証明書認証に限らずSecure ConnectではVPNサーバがVPNクライアントを認証することはありませんので、「Secure Connectは証明書認証に対応していますか？」というご質問については「対応していません」という回答となります。

 

ちなみに、この場合すべての認証はSAML IdP側に依存することになりますが、SAMLはTLSよりも上位のアプリケーション層で動作する認証プロトコルであるため、TLSでの証明書を使った制御は行うことができません。

しかしながら、SAML IdPの各ベンダーではSAML認証の際にデバイス認証を行うための仕組みを実装しているサービスもありますので、こうした仕組みを証明書認証の代案として持っていくことはできるかもしれません。この辺りは是非ご利用のSAML IdP側にご確認いただければと思います。

例えばCisco Duoであれば、Duo Desktopというアプリを用いて管理対象エンドポイントを識別するDuo TrustedEndpointsという仕組みを持っています。

 

　今回は以上です。最後までお読みいただきありがとうございました。

全44回のMeraki過去記事を掲載中！

製品情報や導入事例を掲載中！

使いやすいと好評！選び方ガイド無料DL！

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。

必要に応じて、ログインしてご利用ください。

iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事

• Collaboration 第154回 「Webex Calling 機能紹介 その２ ~ コールキュー ~」
• Meraki 第157回「Secure Connect では証明書認証は使えますか？」
• Security 第84回「Cloud Managementにおけるバージョンの自動更新」
• Collaboration 第153回 「Webex Calling 機能紹介 その1 ~ ハントグループ ~」
• Security 第83回「「クラウドセキュリティ」DISオリジナル提案ガイドの最新版の更新について」
• Meraki 第156回「Secure Connect のユーザ/グループ情報取り込みについて」

一覧ページ