Workspace ONE Access コンソールで RADIUS 認証を有効にし、RADIUS 設定を構成します。

前提条件

認証マネージャー サーバで RADIUS ソフトウェアをインストールして構成します。RADIUS 認証については、ベンダーの構成ドキュメントに従ってください。

サービス上で RADIUS を構成するには、次の RADIUS サーバ情報を把握する必要があります。

  • RADIUS サーバの IP アドレスまたは DNS 名。
  • 認証ポート番号。認証ポートは、通常 1812 です。
  • 認証タイプ。認証タイプには、PAP(パスワード認証プロトコル)、CHAP(チャレンジ ハンドシェイク認証プロトコル)、MSCHAP1 および MSCHAP2(Microsoft チャレンジ ハンドシェイク認証プロトコル、バージョン 1 および 2)があります。
  • RADIUS プロトコル メッセージで暗号化および復号化に使用される RADIUS 共有シークレット。
  • RADIUS 認証に必要な特定のタイムアウトおよび再試行の値。

手順

  1. Workspace ONE Access コンソールの [ID とアクセス管理] タブで、[セットアップ] を選択します。
  2. [コネクタ] ページで、RADIUS 認証用に構成されているコネクタのワーカー リンクを選択します。
  3. [認証アダプタ] をクリックしてから、[RadiusAuthAdapter] をクリックします。
    Workspace ONE Access ログイン ページにリダイレクトされます。
  4. [認証アダプタ] ページで [編集] をクリックして、次のフィールドを構成します。
    オプション 操作
    名前 名前は必須です。デフォルトの名前は、RadiusAuthAdapter です。名前は変更できます。
    Radius アダプタを有効にする RADIUS 認証を有効にするには、このボックスをオンにします。
    許可されている認証試行回数 RADIUS を使用してログインする場合のログイン失敗が許可される最大回数を入力します。デフォルトは、5 回です。
    ログイン ページのパスフレーズのヒント 正しい RADIUS パスコードの入力をユーザーに促すために、ユーザー ログイン ページに表示するテキスト文字列を入力します。たとえば、[Active Directory パスワード、それから SMS パスコード] でこのテキスト ボックスを構成すると、ログイン ページのメッセージでは [Active Directory パスワード、それから SMS パスコードを入力してください] のように表示されます。デフォルトのテキスト文字列は、[RADIUS Passcode] です。
    認証チェイニング中の Radius サーバへの直接認証を有効にする このボックスをオンにして直接ユーザー認証を有効にします。ユーザーは認証情報を再入力する必要はありません。
    Radius サーバの試行回数 再試行の合計回数を入力します。プライマリ サーバが反応しない場合、サービスは決められた時間が経つまで待機してからもう一度再試行します。
    サーバ タイムアウト(秒)

    RADIUS サーバのタイムアウトを秒単位で入力します。この時間が経過しても RADIUS サーバが応答しない場合には、再試行が送信されます。

    Radius サーバのホスト名/アドレス RADIUS サーバのホスト名または IP アドレスを入力します。
    認証ポート Radius 認証のポート番号を入力します。ポートは、通常 1812 です。
    アカウント ポート ポート番号に 0 を入力します。アカウント ポートは現在使用されません。
    認証タイプ RADIUS サーバでサポートされている認証プロトコルを入力します。PAP、CHAP、MSCHAP1、MSCHAP2 のいずれかを入力します。
    共有シークレット RADIUS サーバと Workspace ONE Access サービス間で使用される共有シークレットを入力します。
    レルムのプリフィックス (オプション)ユーザー アカウントの場所はレルムと呼ばれます。

    レルムのプリフィックス文字列を入力すると、ユーザー名が RADIUS サーバに送信されるときに、その文字列が名前の先頭に置かれます。たとえば、jdoe というユーザー名が入力され、レルムのプリフィックスとして DOMAIN-A\ が指定された場合は、DOMAIN-A\jdoe というユーザー名が RADIUS サーバに送信されます。これらのテキスト ボックスを構成しない場合は、入力したユーザー名だけが送信されます。

    レルムのサフィックス (オプション)レルムのサフィックスを指定すると、その文字列はユーザー名の末尾に置かれます。たとえば、サフィックスが @myco.com の場合は、jdoe@myco.com というユーザー名が RADIUS サーバに送信されます。
  5. セカンダリ RADIUS サーバを有効にして、高可用性を実現できます。
    セカンダリ サーバは、手順 4 の説明に従って構成します。
  6. [保存] をクリックします。

次のタスク

[ID とアクセス管理] > [管理] タブで、組み込みの ID プロバイダでの RADIUS 認証を有効にします。組み込み ID プロバイダでの認証方法の管理を参照してください。

デフォルトのアクセス ポリシーに RADIUS 認証方法を追加します。[ID とアクセス管理] > [管理] > [ポリシー] ページの順に移動し、デフォルトのポリシー ルールを編集して、RADIUS 認証をルールに追加します。ユーザーに適用する認証方法の管理を参照してください。