こんにちは。セキュリティ担当のdsasです。
　前回に引き続き、Duo Securityに関するご紹介をしていきたいと思いますが、今回からはもう少し具体的にどうやって使うものなの？という観点でご紹介させていただきます。
　少しだけテクニカルな内容になりますがお付き合いいただけますと幸いです。

　まずは、メインの多要素認証からご紹介していきますが、多要素認証という名前からもわかる通りDuoは認証サーバに近い役割を提供することになります。

　私のようなネットワークエンジニアにも比較的イメージしやすいRADIUSプロキシとしてDuoを動かす場合についてイメージを図にまとめるとこんな感じになります。
　この場合、実際にRADIUSサーバとしてASAの認証リクエストに応答する役割がDuo Authentication Proxy(DAP)です。
　DAPは認証のリクエストを受けると1つ目の要素としてユーザ名/パスワードをActive Directoryなどの外部データベースと照合しつつ、2つ目の要素を使用した認証をクラウド経由で実行します。
　どちらの認証も成功したところで、応答を返し認証が成功という流れになります。
　多要素認証というとちょっと難しそうですが、Duoを使うことでかなりシンプルに実現できる、という点がなんとなくご理解いただけるかと思います！

　ちなみに図の中で要素２として出てくるDuo Pushですが、こちらはスマートフォンにインストールして利用するDuo純正のアプリケーションです。特に日本企業では会社貸与のスマートフォンを使うケースも多いかと思いますので、追加費用なしで所有要素認証を実現できるツールとしてご利用頂けるのではと思います。
　なお、提案時に覚えておきたいポイントですが、Duo Security自体はクラウドサービスですがローカルで準備が必要になるものがあります。
　まずはDuo側ではユーザデータベースを持ちませんので、別途お客様でユーザデータベースをご用意いただくことが必要となります。こちらは基本的にActive Directoryのことだと思って頂ければ問題ありません。
　また、DAPはWindowsやLinuxのサーバ上にインストールしていただくサービスとなりますので、DAPが動作するためのサーバをローカルにご用意いただくことが必要になります。
　Windowsサーバでも動きますので、前述のActive Directoryが動いているサーバ上でDAPも動かしていただく形が構成上は一番シンプルかなと思います。
　なお、DAPはOutbound方向でSSLを使用してクラウドに接続できる必要がありますので、ファイアウォールの要件についてもあらかじめご確認ください。
　DAPのシステム要件については下記のドキュメントもご参照頂ければと思います。
・Authentication Proxy - Reference
https://duo.com/docs/authproxy-reference

　ここまでRADIUSサーバとしてDAPを使うパターンをご紹介しましたが、同じようなイメージでDuoをSAML IdPとしても利用することも可能です。
　ネットワークエンジニアとしてなんとなく苦手意識のあるSAMLですが、次回頑張ってまとめますので引き続きご覧いただけますと幸いです。

　今回は以上です。