[ポッドの編集] ワークフローを使用して、ポッドのゲートウェイで 2 要素認証設定を変更したり、2 要素認証を完全に無効化したりすることができます。設定を変更する場合、基本的には 2 要素認証設定の新しい名前を入力し、必要な新しい設定を入力して、特定のゲートウェイ用に新しい名前が選択されていることを確認し、保存します。[ポッドの編集] ワークフローを使用して、2 要素認証設定を変更します。

前提条件

ゲートウェイの 1 つに対して 2 要素認証を有効のままにしておいて、特定の設定を変更している場合は、次の情報があることを確認します。

  • 2 要素認証サーバがオンプレミスの場合、ゲートウェイの Unified Access Gateway インスタンスがそのサーバへのルーティングを解決できるように、次のフィールドに関連する情報があることを確認します。
    オプション 説明
    [DNS アドレス] オンプレミス認証サーバの名前を解決できる DNS サーバの 1 つ以上のアドレスを指定します。
    [ルート] ポッドの Unified Access Gateway インスタンスがネットワークのルーティングをオンプレミス認証サーバに解決できるようにする、1 つ以上のカスタム ルートを指定します。

    たとえば、オンプレミスの RADIUS サーバがその IP アドレスとして 10.10.60.20 を使用している場合、10.10.60.0/24 とデフォルト ルートのゲートウェイ アドレスをカスタム ルートとして使用することになります。この環境で使用している Express ルートまたは VPN 構成からデフォルト ルートのゲートウェイ アドレスを取得します。

    形式 ipv4-network-address/bits ipv4-gateway-address で、カンマ区切りリストとしてカスタム ルートを指定します(例:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)。

  • 次の情報が、ポッド デプロイ ウィザードの適切なフィールドに指定できるように、認証サーバの構成で使用されていることを確認します。プライマリおよびセカンダリ サーバの両方がある場合は、それぞれの情報を取得します。

    • 認証サーバの IP アドレスまたは DNS 名
    • 認証サーバのプロトコル メッセージで暗号化および復号化のために使用される共有シークレット
    • 認証ポートの番号、通常は 1812 UDP ポート。
    • 認証プロトコルのタイプ。認証タイプには、PAP(パスワード認証プロトコル)、CHAP(チャレンジ ハンドシェイク認証プロトコル)、MSCHAP1 および MSCHAP2(Microsoft チャレンジ ハンドシェイク認証プロトコル、バージョン 1 および 2)があります。
      注: RADIUS ベンダーの推奨する認証プロトコルについては、RADIUS ベンダーのドキュメントを確認し、指定したプロトコル タイプに従ってください。RADIUS の 2 要素認証をサポートするポッドの機能は、Unified Access Gateway インスタンスによって提供され、Unified Access Gateway が PAP、CHAP、MSCHAP1、MSCHAP2 をサポートします。PAP のセキュリティは、通常 MSCHAP2 のものよりも低くなっています。また PAP は MSCHAP2 よりシンプルなプロトコルです。結果として、RADIUS ベンダーのほとんどはよりシンプルな PAP プロトコルと互換性がありますが、一部の RADIUS ベンダーはよりセキュリティの高い MSCHAP2 との互換性を有していません。

手順

  1. ポッドの詳細ページから [編集] をクリックして、[ポッドの編集] ウィンドウを開きます。
  2. [ポッドの編集] ウィンドウで [次へ] をクリックし、[ゲートウェイ設定] の手順に移動します。
    この手順には、外部ゲートウェイ構成のセクションと、内部ゲートウェイ構成のセクションが含まれています。ユーザー インターフェイスには、ポッドの現在の構成と、すでに存在するゲートウェイ設定が反映されます。
  3. 2 要素認証を変更するゲートウェイ タイプ(外部または内部)のウィンドウに移動します。
  4. ゲートウェイで 2 要素認証を無効にするには、[2 要素認証を有効にしますか?] トグルをオフに切り替えてから、手順 10 に移動して変更を保存します。
    他のゲートウェイでも 2 要素認証が有効になっていて、それを無効にする場合は、その他のゲートウェイのセクションでトグルをオフにします。
  5. ゲートウェイで設定されている特定の 2 要素認証設定を変更するには、次の手順を続行します。
    2 要素認証の値の新規セットに新しい名前を作成し、ウィンドウ内のゲートウェイ セクションで選択されたその新しい名前で構成を保存します。
  6. [名前] フィールドで、この構成の識別名を入力します。
  7. [プロパティ] セクションで、アクセスの認証に使用するログイン画面でのエンド ユーザーの操作に関連する詳細を指定します。
    オプション 説明
    [表示名] このフィールドは空白のままにできます。このフィールドはウィザードに表示されますが、Unified Access Gateway の内部名のみを設定します。この名前は Horizon クライアントによって使用されません。
    [表示に関するヒント] 必要に応じて、ユーザーに RADIUS ユーザー名とパスコードの入力を要求するときにエンドユーザー クライアントのログイン画面に表示されるメッセージに、エンドユーザーに対して表示されるテキスト文字列を入力します。指定されたヒントは、Enter your DisplayHint user name and passcode としてエンドユーザーに表示されます。ここで、DisplayHint はこのフィールドで指定するテキストです。

    このヒントを参考にして、ユーザーは正しい RADIUS パスコードを入力することができます。たとえば、Example Company user name and domain password below のようなフレーズを指定すると、Enter your Example Company user name and domain password below for user name and passcode というプロンプトがエンドユーザーに表示されます。

    [名前 ID のサフィックス] この設定は、ポッドがシングル サインオンのために TrueSSO を使用するよう構成されている、SAML シナリオで使用されます。オプションとして、ポッド マネージャへの要求で送信される SAML アサーション ユーザー名の後に追加される文字列を指定します。たとえば、ユーザー名が user1 としてログイン画面に入力され、@example.com の名前 ID のサフィックスがここで指定された場合、user1@example.com の SAML アサーション ユーザー名が要求で送信されます。
    [反復回数] この RADIUS システムを使用してログインを試行する場合に、ユーザーに対して許可される認証の失敗試行の最大数を入力します。
    [ユーザー名を維持] Horizon Cloud への認証中にユーザーの RADIUS ユーザー名を維持する場合はこのトグルを有効にします。有効になっている場合:
    • ユーザーは、Horizon Cloud に対する Active Directory 認証の場合と同じユーザー名認証情報を RADIUS でも利用できる必要があります。
    • ユーザーは、ログイン画面でユーザー名を変更することができません。

    このトグルがオフに切り替わると、ユーザーはログイン画面で別のユーザー名を入力することができます。

    注: [ユーザー名を維持] の有効化と Horizon Cloud のドメイン セキュリティ設定との関係については、 [全般設定] ページでのドメイン セキュリティ設定トピックを参照してください。
  8. [プライマリ サーバ] セクションで、認証サーバの詳細を指定します。
    オプション 説明
    [ホスト名/IP アドレス] 認証サーバの DNS 名または IP アドレスを入力します。
    [共有シークレット] 認証サーバと通信するため、シークレットを入力します。この値は、サーバで構成されている値と同じである必要があります。
    [認証ポート] 認証トラフィックを送受信するために認証サーバで構成されている UDP ポートを指定します。デフォルトは 1812 です。
    [アカウント ポート] オプションとして、アカウンティング トラフィックを送受信するために認証サーバで構成されている UDP ポートを指定します。デフォルトは 1813 です。
    [メカニズム] 指定した認証サーバでサポートされている、デプロイされたポッドが使用する認証プロトコルを選択します。
    [サーバ タイムアウト] ポッドが認証サーバからの応答を待機する秒数を指定します。この秒数が経過した後、サーバが応答しない場合は再試行が送信されます。
    [最大再試行回数] ポッドが認証サーバへの失敗した要求を再試行する最大回数を指定します。
    [レルムのプリフィックス] オプションとして、名前が認証サーバに送信されるときに、システムによってユーザー名の先頭に付加される文字列を指定します。ユーザー アカウントの場所はレルムと呼ばれます。

    たとえば、ユーザー名が user1 としてログイン画面に入力され、DOMAIN-A\ のレルムのプリフィックスがここで指定された場合、システムは認証サーバに DOMAIN-A\user1 を送信します。レルムのプリフィックスを指定しないと、入力したユーザー名だけが送信されます。

    [レルムのサフィックス] オプションとして、名前が認証サーバに送信されるときに、システムによってユーザー名の後に追加される文字列を指定します。たとえば、ユーザー名が user1 としてログイン画面に入力され、@example.com のレルムのサフィックスがここで指定された場合、システムは認証サーバに user1@example.com を送信します。
  9. (オプション) [セカンダリ サーバ] セクションで、オプションとして、補助認証サーバの詳細を指定します。
    高可用性を提供するにはセカンダリ認証サーバを構成することができます。 [補助サーバ] トグルを有効にして、 [プライマリ サーバ] セクションの記載どおりにフィールドに入力します。
  10. 必要な設定をすべて完了したら、[保存して終了] をクリックします。
    ワークフローの開始を確認するよう求める確認メッセージが表示されます。
  11. [はい] をクリックしてワークフローを開始します。

結果

システムがポッドへの新しい構成のデプロイを完了するまで、ポッドのサマリ ページでの 2 要素認証を追加したゲートウェイのセクションに、保留しています ステータスが表示されます。

ワークフローが完了すると、ステータスには 準備完了 と表示され、ゲートウェイの 2 要素認証設定がページに表示されます。

注: Microsoft Azure China のポッドに対してこのワークフローを実行する場合、プロセスが完了するまでに 1 時間以上かかることがあります。このプロセスは地理的なネットワークの問題の影響を受け、バイナリがクラウドの制御プレーンからダウンロードされるときにダウンロードの速度が低下することがあります。

次のタスク

重要: ゲートウェイの 2 要素認証設定の値を新しいものに変更する場合は、エンド ユーザーが 2 要素認証の新しい値を持つゲートウェイの使用を再開する前に、次のタスクを完了しておく必要があります。
  • RADIUS 設定を使用して外部ゲートウェイを構成し、ポッドで使用される VNet と同じ VNet 内で、または外部ゲートウェイを専用の VNet に展開した場合のピアリングされた VNet トポロジ内で、その RADIUS サーバにアクセスできない場合は、ゲートウェイ構成で指定した RADIUS サーバが、外部ゲートウェイのロード バランサの IP アドレスからのクライアント接続を許可していることを確認します。外部ゲートウェイ構成では、Unified Access Gateway インスタンスは、そのロード バランサのアドレスを使用して、RADIUS サーバとの通信を試みます。接続を許可するには、その外部ゲートウェイのリソース グループにあるロード バランサ リソースの IP アドレスが、確実に RADIUS サーバ構成でクライアントとして指定されているようにします。
  • 内部ゲートウェイを構成した場合や、外部ゲートウェイを構成してポッドで使用される VNet と同じ VNet 内で RADIUS サーバにアクセスできる場合は、Microsoft Azure でのゲートウェイのリソース グループで作成された適切な NIC からの接続を許可するように RADIUS サーバが構成されていることを確認します。ネットワーク管理者が、ポッドの Azure 仮想ネットワークおよびサブネットに対する RADIUS サーバのネットワーク可視性を決定します。RADIUS サーバは、ネットワーク管理者によって RADIUS サーバへのネットワーク可視性が付与されたサブネットに対応するゲートウェイ NIC の IP アドレスからの、クライアント接続を許可する必要があります。Microsoft Azure のゲートウェイのリソース グループには、そのサブネットに対応する 4 つの NIC があり、そのうち 2 つが 2 個の Unified Access Gateway インスタンスに対して現在アクティブです。もう 2 つはアイドル状態で、ポッドが更新を完了した後にアクティブになります。実行中のポッド操作のため、および各ポッドの更新後のために、ゲートウェイと RADIUS サーバ間の接続をサポートするには、これらの 4 つの NIC の IP アドレスが RADIUS サーバ構成でクライアントとして指定されていることを確認します。

これらの IP アドレスの取得方法については、必要な Horizon Cloud ポッドのゲートウェイ情報での RADIUS システムの更新を参照してください。