SecureW2が提供するクラウドRADIUSでは、Dynamic RADIUSをサポートしています。
Dynamic RADIUSとは
Dynamic RADIUSとは、SecureW2がRADIUSクライアントとなるアクセスポイント(AP)や無線コントローラから認証要求を受け取った際、OneLogin、Okta、Entra IDなど組織のID基盤となるIDaaSにユーザー情報をリアルタイムに問い合わせを行い、IDaaSのユーザーステータス、所属グループを確認してダイナミックに認証・認可を行うSecureW2独自のRADIUSの総称でございます。また、IDaaSへのユーザー情報の問い合わせを行う機能は「Account Lookup」とも呼ばれています。
これにより、お客様はクライアント証明書の失効状態や証明書記載内容に基づいた静的かつ画一的な認証・認可フローに加えて、証明書自体の失効/管理状態に依存しないクラウドネイティブでIDaaSによる一元的な認証・認可をネットワーク認証に拡張していただけます。
動的なネットワークポリシーの制御
SecureW2ではネットワークポリシーと呼ぶ、認証を要求したデバイス/ユーザーに対してどのような権限でネットワークへの接続を許可するかを定義するアクセス制御がございます。ネットワークポリシーは通常、証明書の発行経路、ユーザー/デバイス情報、RADIUS認証要求時のコンテキストに応じたRADIUS応答のコントロールを柔軟に実現します。
Dynamic RADIUSを利用するとこれに加えて、Account Lookup機能を利用して取得したIDaaSのユーザーステータス(有効/無効)や、所属グループ(例えば従業員グループ、業務委託グループなど)に応じてVLAN IDに何を割り当てる(例えば従業員はVLAN ID=100、業務委託はVLAN ID=200など)かRADIUS VSAの応答値のパターン、そもそも認証を許可/拒否するのかなどを細かくご設定いただけます。
IDaaSを基軸とした認証・認可のコントロール実現
IT管理者はお使いのIDaaSでいままで通りユーザーの所属部署・部門の変更、休職や退職に伴うステータスの変更などを行うだけで、これらユーザー属性の変化をネットワーク認証にも拡張いただけます。SecureW2やネットワーク機器の管理画面にログインして個別にクライアント証明書を失効*1 したり、ポリシー割当の変更、接続済みクライアントの遮断*2 などを手作業で行う必要はございません。
また、SecureW2は802.1X認証において、クライアント証明書認証を利用するEAP-TLSを主な認証プロトコルとして採用しております。そのため高度でクラウドネイティブな認証・認可を、現在お客様がお使いの一般的な無線アクセスポイント(AP)やスイッチ製品などはそのままにご利用いただけます。
現在の構成にSecureW2を加えて頂くだけで、いままでこれらID管理と分離しがちなネットワークのアクセス制御をより簡便に、そしてセキュアにしていただくことが可能です。
Dynamic RADIUS で利用できるIdP
Dynamic RADIUSはAccount Lookupと呼ばれるSecureW2とIdP間のルックアップ連携設定を利用して、RADIUS認証要求への応答にダイナミックな判定を実施します。Account LookupをサポートしているIdPは下記のとおりです。
- OneLogin
- Okta
- Google Workspace
- Microsoft Entra ID(旧Azure AD)
- JAMF Pro
- Generic HTTP
- Generic OAuth
*太字は主要なIDaaS
まとめ
従来の物理アプライアンス型RADIUSサーバーでは、同じLAN内にいるActive DirectoryやLDAPなどのレガシーなIDM、認証基盤と連携して同様の機能を実現しておりましたが、業務環境がクラウド化するにつれて組織のIDマスターはOneLogin、Okta、Entra IDなどのクラウドにあるIDaaSが中心となりました。SecureW2は、オンプレミス資産の必要ないクラウド間で完結するID連携を実現することで新時代のよりきめ細やかなアクセス制御を皆様にご提供いたします。
*1 クライアント証明書の失効処理はAccount Lookupによるユーザーステータスの検証により、IDaaSでユーザーが無効=クライアント証明書を無効化とするなど、自動化することが可能です。(無効化するかどうかはお客様でご選択いただけます)。また、別途Real-Time Intelligenceに付随するEvent Hookをお使い頂くとRADIUS認証時ではなく、IDaaSからリアルタイムにイベントデータを連携して即時失効もご利用頂くことができます。
*2 既にネットワークに接続済みクライアントの遮断は別途Real-Time Intelligenceのご契約が必要となりますが、Cisco Meraki / HPE Aruba / Ubiquiti UniFi の3製品では証明書失効時にデバイスを即時ブロックすることで機密ネットワークへのアクセスもIDaaSを中心にコントロール頂くことができます。
ご契約者様向けのご案内
既存の弊社技術ドキュメントは下記からご覧いただけます。
※2024年7月1日時点掲載分