リモートアクセス用認証サーバの設定

VPNビュー >リモートアクセスセクション>認証サーバページでは、Quantum Sparkゲートウェイに接続するリモートアクセスVPNユーザ(リモートアクセスブレードが有効になっている場合、以下参照)のために異なる認証サーバを設定し、表示することができます。リモート・アクセス・ブレードの設定)。

これらの認証方法を設定できます:

認証方法

説明

RADIUS

リモートアクセス VPN ユーザが接続すると、Quantum Spark ゲートウェイは設定された RADIUS サーバに接続してユーザを認証します。

RADIUSサーバの設定は、VPNビュー >リモートアクセスセクション>リモートアクセスユーザページで行います。

Active Directory

リモートアクセス VPNユーザが接続すると、Quantum Spark ゲートウェイは設定された Active Directory サーバに接続してユーザを認証します。

Active Directoryサーバの設定は、リモートアクセスVPNビュー >リモートアクセスセクション>リモートアクセスユーザページで行います。

SAML ID プロバイダ

- この機能はR81.10.15以降のバージョンで利用可能です。

リモートアクセス VPN ユーザが接続すると、Quantum Spark ゲートウェイは設定された SAML アイデンティティプロバイダに接続してユーザを認証します。

SAML ID プロバイダポータルで必要な設定を構成する必要がある。

リモートアクセスVPNのRADIUS認証の設定

  1. RADIUS サーバセクションで、設定をクリックします。

  2. プライマリタブで、プライマリ RADIUS サーバを設定します:

    • IPアドレス- プライマリRADIUSサーバのIPアドレス。

    • ポート- プライマリ RADIUS サーバのリスニングポートの番号。デフォルトは1812です。

    • 共有秘密キー - プライマリ RADIUS サーバと Quantum Spark ゲートウェイ間の秘密(メッセージの「暗号化」に使用される事前共有情報)。

      注:

      • パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

      • [表示]を選択すると、共有秘密キーが表示されます。

    • [タイムアウト(秒)] - RADIUSサーバと通信する際のタイムアウト値(秒)です。デフォルトのタイムアウトは3秒。

    - すべての設定を削除するには、クリアをクリックします。

  3. オプション: セカンダリタブで、セカンダリRADIUSサーバを構成します:

    • IPアドレス- セカンダリRADIUSサーバのIPアドレス。

    • ポート- セカンダリ RADIUSサーバのリスニングポートの番号。デフォルトは1812です。

    • 共有秘密キー - セカンダリRADIUSサーバとQuantum Sparkゲートウェイ間の秘密(メッセージの「暗号化」に使用される事前共有情報)。

      注:

      • パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

      • [表示]を選択すると、共有秘密キーが表示されます。

    • [タイムアウト(秒)] - RADIUSサーバと通信する際のタイムアウト値(秒)です。デフォルトのタイムアウトは3秒です。

    - すべての設定を削除するには、クリアをクリックします。

  4. [保存]をクリックします。。

  5. RADIUSユーザのリモートアクセス権限を有効にする:

    1. RADIUSユーザのリモートアクセス許可が無効になっています行で、RADIUSユーザのアクセス許可リンクをクリックします。

      [RADIUS認証]ウィンドウが開きます。

    2. User Awareness(ユーザ認識)、Remote Access(リモートアクセス)」、Hotspot(ホットスポット)を選択します。

    3. オプション: リモートアクセスの場合は特定のRADIUSグループのみを使用するを選択し、該当するRADIUSグループ名を入力します。

    4. [保存]をクリックします。。

  1. RADIUS サーバセクションで、編集するRADIUSサーバのIPアドレスリンクをクリックします。

  2. 必要な変更を行います。

  3. [保存]をクリックします。。

RADIUS サーバ」セクションで、削除するRADIUSサーバの横にある「Remove」リンクをクリックします。

リモートアクセスVPN用のActive Directory認証の設定

  1. Active Directoryセクションで、新規をクリックします。

  2. Active Directoryドメイン設定を行う:

    • [ドメイン] - ドメイン名です。

      このドメインを設定できるのは1回だけです。

    • IPアドレス- ドメインのActive Directoryドメインコントローラの1つのIPv4アドレス。

    • ユーザ名- Active Directoryドメインコントローラーに接続するためのユーザ名。このユーザは、設定プロセスを容易にし、Active Directoryで定義されたユーザを使用してユーザベースのポリシーを作成するために、管理者権限を持っている必要があります。

    • パスワード- Active Directoryドメインコントローラに接続するためのユーザのパスワード。

      -パスワードや共有秘密には、これらの文字は使用できません: { } [ ] ` ~ | ‘ " \ (最大文字数:255文字)

    • ユーザDN- ユーザのFQDN。そのユーザを表すオブジェクトのDNを自動検出閉じた UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。する場合は検索をクリックし、手動でユーザDNを入力する場合は入力します。

      例:CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com

    • オプション:Active Directoryで定義されたユーザデータベースの一部のみを使用する場合は、特定のブランチからのユーザ グループのみ使用を選択してください:

      1. [新規]をクリック。

      2. 該当するActive Directoryブランチの完全なDNを入力します。

      3. [保存]をクリックします。。

  3. [保存]をクリックします。。

  4. Active DirectoryドメインコントローラからActive Directoryグループを同期する方法を設定します:

    1. Active Directoryセクションで、設定をクリックします。

    2. 該当するオプションを選択します。

      • 自動同期(これはデフォルトで、24時間ごとに実行される)

      • 手動同期

        - WebUIでユーザデータベースを表示できるすべての場所で、ユーザデータベースを同期できます。

        例:

        • ユーザ & オブジェクトビュー > ユーザ管理 セクション > ユーザページ。

        • アクセスポリシービュー > ファイアウォール セクション > ポリシーページ。

          受信、内部およびVPNトラフィックセクション>ソースカラム >[+]をクリックします。

          注 - Active Directoryからユーザを選択することはできません。

    3. [保存]をクリックします。。

  5. Active Directoryユーザのリモートアクセス権限を有効にする:

    1. [リモートアクセスユーザ]ページの[Active Directoryユーザのリモートアクセス許可]行で、[Active Directoryユーザの許可]リンクをクリックします。

      Active Directory Global Permissionsウィンドウが開きます。

    2. 該当するオプションを選択します。

    3. [保存]をクリックします。。

  1. Active Directoryセクションで、編集したいActive Directoryドメインをクリックします。

  2. [編集]をクリックします。。

    ドメイン情報は読み取り専用で、変更することはできません。

  3. 必要な変更を行います。

  4. [保存]をクリックします。。

  1. Active Directoryセクションで、削除するActive Directoryドメインをクリックします。

  2. [削除]をクリックします。。

リモートアクセスVPNのSAML認証の構成

R81.10.15 以降では、Quantum Spark ゲートウェイでリモートアクセス VPN ユーザを認証するために SAML アイデンティティプロバイダ(IdP)を設定できます。

- R81.10.15バージョンは、Microsoft Entra ID(旧Azure AD)のみをサポートしています。

リモートアクセス VPN のユーザは、Microsoft Entra ID の認証情報を入力して Quantum Spark ゲートウェイに接続し、内部リソースにアクセスします。

これは、Quantum Spark ゲートウェイのためだけに特定の認証情報を使用するよりも簡単です。

管理者は、Microsoft Entra ID ポータルでユーザグループを管理し、シングルサインオン (SSO) や2要素認証 (2FA) などの認証方法を強制することができます。

高度な使用例では、Microsoft Entra IDの特定のグループに対して、このSecurity ゲートウェイグローバル設定を通じて接続クライアントからのインターネットトラフィックをルーティングする設定を上書きできます。接続されたクライアントからのインターネットトラフィックをこのセキュリティゲートウェイ経由でルーティングする方法の詳細については、以下を参照してください。詳細リモートアクセスオプションの設定

  1. あるリモートアクセス VPN ユーザが、リモートアクセス VPN を使用して、Quantum Spark ゲートウェイの背後にある内部リソースにアクセスしたいと考えています。

  2. Quantum Spark ゲートウェイ の SAML ポータルは、認証のためにユーザを SAML アイデンティティプロバイダ(IdP)にリダイレクトします。

  3. IdP は、IdP ポータルで設定したポリシーに従って、リモートユーザに認証情報を要求します。

    たとえば、ユーザがすでにサインインしていることを認識するようにシングルサインオン(SSO)を構成したり、2要素認証(2FA)を要求したりすることができます。

  4. IdP はユーザを認証し、ユーザの Web ブラウザに SAML アサーションを送信します。

  5. リモートユーザの Web ブラウザは、SAML アサーションを Quantum Spark ゲートウェイに送信します。

  6. Quantum Spark ゲートウェイは SAML アサーションを検証し、リモートユーザが内部リソースにアクセスできるようにします。

重要 - 管理者は、リモートアクセスユーザに、受け取ったAzure認証情報を保存するよう通知する必要があります。これらの認証情報は、SAML ユーザ認証方法を使用した初回ログインに必要です。

この手順では、Azure Portal と Quantum Spark ゲートウェイ WebUI を開いたままにします。

  1. Azure Portal で、Quantum Spark ゲートウェイ用の SAML アプリケーションを作成します:

    1. エンタープライズアプリケーションをクリックします。

    2. 新規アプリケーションをクリックします。

    3. 独自のアプリケーションを作成するをクリックします。

      独自のアプリケーションを作成するウィンドウが開きます。

    4. アプリケーションの名前を入力します。

    5. このデフォルトオプションが選択されていることを確認閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。

      ギャラリーにない他のアプリケーションを統合する(非ギャラリー)

    6. 作成をクリックします。

  2. Azure Portal で、ユーザまたはユーザのグループを SAML アプリケーションに割り当てる:

    1. アプリケーションの概要ページで、Getting Started(はじめに)セクションのユーザとグループを割り当てるをクリックします。

    2. ユーザ/グループの追加をクリックします。

    3. ユーザとグループを選択します。

    4. 割り当てをクリックします。

  3. Azure Portal で、アプリケーションのSAML ベースのサインオン画面に移動する:

    1. 左のメニューで管理を展開します。

    2. シングルサインオンをクリックします。

    3. SAMLを選択します。

    4. 基本 SAML 構成セクションで、編集(鉛筆)アイコンをクリックします。

      基本 SAML 構成ウィンドウが開きます。

  4. Quantum Spark ゲートウェイ WebUI の左側のナビゲーションパネルで、VPNビューをクリックします。

  5. リモートアクセスセクションで、認証サーバページをクリックします。

  6. IDプロバイダセクションで、構成をクリックします。

    IDプロバイダの設定ウィンドウが開きます。

  7. SAMLアイデンティティプロバイダに必要なデータセクションで、以下の手順に従います:

    1. Quantum Spark ゲートウェイ WebUI からこれらの値をコピーし、Azure ポータル >基本 SAML 構成ウィンドウに貼り付けます:

      • Quantum Spark ゲートウェイ WebUI から一意の識別子 URL値をコピーし、Azure ポータルの識別子 (エンティティ ID) フィールドに貼り付けます。

      • Quantum Spark ゲートウェイ WebUI からReply URLをコピーし、AzureポータルのReply URL(アサーションコンシューマサービス URL) フィールドに貼り付けます。

      - デフォルトでは、WebUIはデバイスビュー >システムセクション >DDNS & デバイスアクセスページのDDNS設定に基づいてこれらの値を生成します。DDNSを設定しなかった場合、これらの値はアプライアンスのパブリック IP アドレスに基づいています。クラスタ閉じた ハイアベイラビリティを実現するために相互接続された2台のQuantum Sparkアプライアンス。にDDNSを設定していない場合、これらの値はクラスタの仮想IPアドレス(VIP)に基づいています。

    2. オプション:Quantum Spark ゲートウェイのDDNSまたはIPアドレスを上書きできます:

      • DDNSの代わりに静的IPv4アドレスを使用するには、Override DDNS/IPを選択し、IPv4アドレスを入力します。

        Quantum Spark Gateway WebUI は、IPv4 アドレスに基づいて新しい一意識別子 URL返信 URLを生成します。これらのフィールドは、ユーザがゲートウェイ上で ID プロバイダオブジェクトを初めて構成するときに自動的に生成されます。

        DDNSが以前に設定されていた場合、これらのフィールドはドメイン名で作成されます。そうでない場合は、ゲートウェイのIPで作成されます。

      • 固有識別子URL返信URLに、静的パブリックIPアドレスの代わりにDDNSを使用するには、Override DDNS/IPを選択し、DDNSを入力します。

      例:DDNSを設定したが、固有識別子URL返信URLにIPアドレスを使用したい。DDNS/IPを上書きチェックボックスを選択し、IPアドレスを入力すると、一意の識別子URL返信URLの値が変更されます。

    3. Azure ポータル >基本 SAML 構成ウィンドウで、保存をクリックします。

  8. SAML ID プロバイダが受信したデータセクションで、該当するオプションを選択してアプリケーションを構成する:

    • メタデータファイルのインポート

      1. Azure Portal >SAML証明書セクションで、フェデレーションメタデータXML の横にあるダウンロード をクリックします。

        コンピュータがメタデータファイルをダウンロードします。

      2. Quantum Spark WebUI >SAML IDプロバイダの受信データセクションで、メタデータファイル の横にあるアップロード をクリックします。

      3. コンピュータ上でメタデータファイルを選択し、開くをクリックします。

    • 手動で挿入

      1. Azure ポータル >アプリケーション名セクションで、Microsoft Entra Identifier をコピーします。

      2. Quantum Spark ゲートウェイ WebUI >SAML アイデンティティプロバイダから受信したデータセクションで、Azure ポータルからコピーしたMicrosoft Entra Identifierを貼り付けます。

      3. Azure portal >[アプリケーション名] アプリケーションのセットアップセクションで、ログインURLをコピーします。

      4. Quantum Spark ゲートウェイ WebUI >SAMLアイデンティティプロバイダから受信したデータセクションに、Azure ポータルからコピーしたログインURLを貼り付けます。

      5. Azure ポータル >SAML証明書セクションの証明書(Base64)の横にあるダウンロードをクリックします。

        コンピュータが証明書ファイルをダウンロードします。

      6. Quantum Spark ゲートウェイ WebUI >SAMLアイデンティティプロバイダから受信したデータセクションで、証明書 の横にあるアップロード をクリックします。

      7. コンピュータで証明書ファイルを選択し、開くをクリックします。

  9. Quantum Spark ゲートウェイ WebUI で、保存をクリックします。

  10. 可能なデプロイメントシナリオは2つあります。

    • Quantum Spark Gateway はすでにインストールされており、異なる認証方法を持つ既存のリモート アクセス コミュニティがあり、管理者はその方法を SAMLユーザに変更したいと考えています。

      1. リモートアクセスコミュニティのメンバに、サイトから切断し、再度接続するよう指示します。優先ログインオプションとして「SAML ユーザ」を選択します。

      2. ゲートウェイに接続すると、ユーザはAzureにリダイレクトされ、Azureの認証情報を入力します。

      3. 認証されると、リモートアクセスユーザは企業のリソースにアクセスできるようになります。

    • Quantum Sparkゲートウェイはすでにインストールされていますが、リモートアクセスコミュニティはありません。

      1. リモートアクセスコミュニティのメンバに、Quantum Spark ゲートウェイを URL とするサイトを作成するよう指示する。(デフォルトの認証方法として、"SAML ユーザ" がすでに設定されています)。

      2. ゲートウェイに接続すると、ユーザはAzureにリダイレクトされ、Azureの認証情報を入力します。

      3. 認証されると、リモートアクセスユーザは企業のリソースにアクセスできるようになります。

    詳細:

基本構成では、接続クライアントからのインターネットトラフィックをこのセキュリティゲートウェイを経由させるというグローバル設定は、Microsoft Entra IDで認証するリモートユーザに適用されます。

詳細設定では、Microsoft Entra ID の特定のグループに対して、接続クライアントからのインターネットトラフィックはこのセキュリティゲートウェイを経由するグローバル設定を上書きできます。

接続されたクライアントからのインターネットトラフィックはこのセキュリティゲートウェイ経由する方法の詳細については、以下を参照してください。詳細リモートアクセスオプションの設定

Microsoft Entra ID の 1 つまたは複数のグループに対してこの手順を実行します。

  1. 関連する Microsoft Entra ID ユーザをグループ(例VPN_Users )に入れ、このグループを Quantum Spark ゲートウェイ用に作成した SAML アプリケーションに割り当てる。

  2. Azure Portal で、アプリ登録をクリックします。

    アプリケーションの登録ホームページが開きます。

  3. すべてのアプリケーションをクリックします。

  4. Quantum Spark ゲートウェイ用に作成したアプリケーションをクリックします。

    アプリケーションの登録ページが開きます。

  5. 左側のメニューから管理を展開し、アプリのロールをクリックします。

  6. アプリロールを作成をクリックします。

    アプリロールスライディングウィンドウが開きます。

  7. 表示名フィールドに、アプリロールの名前を入力します。グループ名と同じにすることをお勧めします(この例ではVPN_Users )。

  8. フィールドに、グループ名(この例ではVPN_Users )を入力します。

  9. アプリのロールの説明を入力します。

  10. このアプリのロールを有効にしますか?

  11. 適用をクリックします。

  1. 左上でホームをクリックします。

  2. エンタープライズアプリケーションをクリックします。

  3. Quantum Spark ゲートウェイ用に作成したアプリケーションの名前をクリックします。

  4. 左側のメニューから管理を展開し、ユーザとグループをクリックします。

  5. 該当するグループ名の左側にあるチェックボックスを選択します。

  6. 割り当ての編集をクリックします。

  7. アプリ登録を作成したグループを選択します。

  8. ロールを選択をクリックします。

  9. グループに割り当てたロール(この例ではVPN_Users )を選択します。

  10. 保存をクリックします。

  11. 割り当てをクリックします。

  1. 左上でホームをクリックします。

  2. エンタープライズアプリケーションをクリックします。

  3. Quantum Spark ゲートウェイ用に作成したアプリケーションの名前をクリックします。

  4. 左側のメニューから管理を展開し、シングルサインオンをクリックします。

  5. 属性 & クレームセクションで、編集をクリックします。

  6. 新規クレームを追加をクリックします。

  7. 名前 にはgroup_attr と入力します。

  8. ソース属性を選択します。

  9. ソース属性にはuser.assignedroles を選択します。

  10. 保存をクリックします。

  1. VPNビュー >リモートアクセスセクション>リモートアクセスVPNユーザページに移動します。

  2. 追加ボタンの近くで、下向き矢印 > Active Directory >Azure AD グループ をクリックします。

  3. 名前フィールドに、Microsoft Entra ID で設定したグループ名を入力します。

    重要 - Quantum Spark ゲートウェイでは、この名前は常にプレフィックス "EXT_ID_" で始まる必要があります。

    例:

    Azure ADのグループ名が"VPN_Users"の場合、"EXT_ID_VPN_Users"と入力する必要があります。

  4. [保存]をクリックします。。

  1. VPNビュー >リモートアクセスVPNセクション>詳細ページに移動します。

  2. テーブルで、Microsoft Entra ID を使用して認証するユーザ用に選択したグループ名をクリックします。

    [グループ名]の編集ウィンドウが開きます。

  3. グローバル設定を上書きを選択します。

  4. 1つを実行します:

    • このAzure ADグループのすべてのトラフィックをVPN経由でルーティングを選択すると、グローバル設定が上書きされます。グループのメンバーにとっては、すべてのトラフィックがVPNトンネルを経由します。

    • グローバル設定を上書きするには、[この Azure AD グループのすべてのトラフィックを VPN 経由でルーティング ] を空白のままにします。グループのメンバーにとっては、Quantum Spark ゲートウェイの背後にあるリソースへのトラフィックのみが VPN トンネルを通過します。

  5. 保存をクリックします。