![Security](/portal/page/out/mss/cisco/pic/header/cisco_security.png)
Cisco 担当者コラム
Cisco・Security
Security 第42回「Duo ってどうやって使うの?1」
前回に引き続き、Duo Securityに関するご紹介をしていきたいと思いますが、今回からはもう少し具体的にどうやって使うものなの?という観点でご紹介させていただきます。
少しだけテクニカルな内容になりますがお付き合いいただけますと幸いです。
まずは、メインの多要素認証からご紹介していきますが、多要素認証という名前からもわかる通りDuoは認証サーバに近い役割を提供することになります。
私のようなネットワークエンジニアにも比較的イメージしやすいRADIUSプロキシとしてDuoを動かす場合についてイメージを図にまとめるとこんな感じになります。
この場合、実際にRADIUSサーバとしてASAの認証リクエストに応答する役割がDuo Authentication Proxy(DAP)です。
DAPは認証のリクエストを受けると1つ目の要素としてユーザ名/パスワードをActive Directoryなどの外部データベースと照合しつつ、2つ目の要素を使用した認証をクラウド経由で実行します。
どちらの認証も成功したところで、応答を返し認証が成功という流れになります。
多要素認証というとちょっと難しそうですが、Duoを使うことでかなりシンプルに実現できる、という点がなんとなくご理解いただけるかと思います!
ちなみに図の中で要素2として出てくるDuo Pushですが、こちらはスマートフォンにインストールして利用するDuo純正のアプリケーションです。特に日本企業では会社貸与のスマートフォンを使うケースも多いかと思いますので、追加費用なしで所有要素認証を実現できるツールとしてご利用頂けるのではと思います。
まずはDuo側ではユーザデータベースを持ちませんので、別途お客様でユーザデータベースをご用意いただくことが必要となります。こちらは基本的にActive Directoryのことだと思って頂ければ問題ありません。
また、DAPはWindowsやLinuxのサーバ上にインストールしていただくサービスとなりますので、DAPが動作するためのサーバをローカルにご用意いただくことが必要になります。
Windowsサーバでも動きますので、前述のActive Directoryが動いているサーバ上でDAPも動かしていただく形が構成上は一番シンプルかなと思います。
なお、DAPはOutbound方向でSSLを使用してクラウドに接続できる必要がありますので、ファイアウォールの要件についてもあらかじめご確認ください。
DAPのシステム要件については下記のドキュメントもご参照頂ければと思います。
・Authentication Proxy - Reference
https://duo.com/docs/authproxy-reference
ここまでRADIUSサーバとしてDAPを使うパターンをご紹介しましたが、同じようなイメージでDuoをSAML IdPとしても利用することも可能です。
ネットワークエンジニアとしてなんとなく苦手意識のあるSAMLですが、次回頑張ってまとめますので引き続きご覧いただけますと幸いです。
今回は以上です。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は
をお読みください。Ciscoの記事
- Wireless 第60回「Catalyst 9100シリーズ EWC on APのEoS/EoLのお知らせと他製品の導入について」
- Collaboration 第133回 「Cisco Room Bar Proの紹介 ~ 多様な会議室に対応するビデオ会議端末 ~」
- Collaboration 第132回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その3 ~ 構成例・必要なもの ~」
- Meraki 第146回「Cisco Secure Connect利用時のリモートユーザの保護」
- Security 第73回「【重要】Chromebook ClientでUmbrellaをご利用の方へ~Umbrellaを継続的にご利用いただくために~」
- Collaboration 第131回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その2 ~ これまでのTeams連携との違い ~」