Cisco 担当者コラム
Cisco・Security
Security 第43回「Duo ってどうやって使うの?2」
今回はDuoをSAML認証で利用する場合の使い方についてご紹介していきたいと思います。
SAML(Security Assertion Markup Language)はユーザ認証に使用される通信プロトコルで、主にクラウドサービスの認証で広く用いられています。
最大の特徴は連携したサービス間において、一度のログインで複数のサービスが利用可能になるシングルサインオン(SSO)を実現できる点で、クラウドサービスの利用が増える昨今セキュリティだけではなく利便性の向上も図ることができます。
SAMLの主な構成要素としては、認証のリクエストを行うSAML SPと、認証サーバの役割となるSAML IdPの2つです。
SAML SPはAzureやWebexなどのクラウドサービスで、Duoはこれらのサービスからのリクエストを受けて認証を実施するSAML IdPとして動作するイメージです。
DuoをSAML IdPとして用いる場合、実はいろいろな導入パターンがあるのですが、オススメのパターンは「Duo Single Sign-on」という形態です。この構成ではDuoのクラウド環境をSAML IdPとして各クラウドサービスと認証を行います。
<Duo Single Sign-onのイメージ>
この際、Duo側ではユーザデータベースを持ちませんので、別途お客様でご用意いただく必要があります。例えば上記の例で言うとローカルのActive DirectoryとDuoを連携させるためにDuo Authentication Proxy(DAP)を使用します。
Duo CloudはSAML IdPとして各クラウドサービスからの認証リクエストを受けると、DAP経由で取得したADのユーザ情報を元に、要素1の認証を実施しつつ要素2として登録された所有要素認証や生体要素認証を実行して多要素認証(MFA)を実現する、という流れです。
このパターンのオススメポイントとしては、DAPはHTTPSのアウトバウンド方向でDuoクラウドと通信しますので、外部公開のサーバを建てたり、ファイアウォールに穴をあけたりする必要が無く、既存のローカルネットワークに対して変更が最小限で済むところです。
前回ご紹介したRADIUSでもDAPを利用しますので、実はDAPさえ建てればRADIUSもSAMLでも使えちゃうんですね。便利です。
ちなみに、実はこのDuo Single Sign-onは昨年末にベータ版から製品版に切り替わったばかりの仕組みでして、従来はDuoでSAMLというとDuo Access Gateway(DAG)というSAML IdPの役割をインストールしたサーバを外部公開で設置頂く形が主流でした。
この外部公開、という点はちょっとしたハードルになるかなと思いますので、Duo Single Sign-onが今後は主流になってくると思います。
Duo Single Sign-onについては下記のドキュメントにも記載がありますので、(英語ですが)もしよろしければこちらもご参照ください。
・Duo Single Sign-On
https://duo.com/docs/sso
今回は以上です。
カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は
をお読みください。Ciscoの記事
- Wireless 第60回「Catalyst 9100シリーズ EWC on APのEoS/EoLのお知らせと他製品の導入について」
- Collaboration 第133回 「Cisco Room Bar Proの紹介 ~ 多様な会議室に対応するビデオ会議端末 ~」
- Collaboration 第132回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その3 ~ 構成例・必要なもの ~」
- Meraki 第146回「Cisco Secure Connect利用時のリモートユーザの保護」
- Security 第73回「【重要】Chromebook ClientでUmbrellaをご利用の方へ~Umbrellaを継続的にご利用いただくために~」
- Collaboration 第131回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その2 ~ これまでのTeams連携との違い ~」