Google Workspaceを利用して無線LANやVPNへのEAP-TLS認証をRADIUSで実現するには

安全なパスワードレスネットワーク認証を実現するために、Cloud RADIUSはデジタル証明書を主要な認証形式として使用しています。このガイドでは、Google Workspaceのユーザー/デバイスに証明書を登録し、Cloud RADIUSでの認証に使用できるようにする方法について説明します。

統合プロセスの概要

  1. SecureW2 で SAML Identity Provider を作成する。
  2. Google Admin Console で SAML IDP を構成する。
    • SAML Identity Provider は、誰がネットワークに接続しているかに関するコンテキストを提供し、承認されたネットワークユーザーのみが認証されることを保証します。
  3. 属性マッピングの構成
    • 特定の属性を設定し、組織内のアイデンティティに基づいてネットワークをグループに分割します。
  4. 配布されるネットワークポリシーの設定
    • 管理者は、これらのネットワークポリシーに基づいて、異なるネットワークユーザーセグメントがアクセスできるウェブサイト、アプリケーション、ファイルなどを指定することができます。
  5. RADIUSルックアップのセットアップ
    1. Cloud RADIUSでOAuthアプリケーションを作成し、Google Workspaceでリアルタイムのルックアップを実行することができます。これにより、追加のセキュリティチェックを行い、証明書とネットワークアクセスをリアルタイムで取り消すことができます。

使い始める

Getting Startedウィザードは、802.1xに必要なものをすべて作成します。RADIUSサーバー、ネットワークプロファイル、デバイスオンボーディング用のランディングページ、そして802.1xに必要なすべてのデフォルトネットワーク設定を生成します。

注:SecureW2 をすでにネットワークに設定している場合は、この手順を省略することができます。

  1. Device Onboarding > Getting startedに移動します。
  2. 次の画面に示すように、設定を行います。
  3. 以下を除き、すべての設定を同じにします:
    1. SSID: ユーザーを認証するSSID名に変更します。
    2. Wireless Vendor(ワイヤレスベンダー):b. Wireless Vendor: Wireless Infrastructure Vendorに変更します。
  4. Getting Startedウィザードは、必要なものをすべて作成するのに通常60~90秒かかるので、次のステップに進む前に我慢してください。

IDルックアッププロバイダの作成

RADIUS認証プロセスにおいて、Identity Lookupは、識別情報をIdentity Providerの既存のユーザと照合することで、ユーザが組織内でアクティブであることを検証します。ここでは、SecureW2にIdentity Lookupプロバイダを作成し、Identity Providerに接続して、ユーザ、グループ、およびデバイスを検索できるようにします。

  1. Identity Management > Identity Providersに移動します。
  2. Add Identity Provider(アイデンティティプロバイダの追加)をクリックします。
  3. それぞれのフィールドに「名前」と「説明」を入力します。
  4. Type as Identity Lookup Providerを選択します:GSuite Identity Providerを選択します。
  5. 保存をクリックします。ページが更新され、構成、属性マッピング、グループタブが表示されます。
  6. 構成タブで次の情報を入力します:
    • クライアントIDには、Google Workspaceから取得したクライアントIDを入力します。
    • Client Secretには、Google Workspaceで生成し、安全な場所に保存したクライアントシークレットを入力します。
      • 注:Identity Providerを更新した後、この秘密は取得できなくなります。そのため、安全な場所に保存されていることを確認してください。
    • 更新をクリックします。
  7. 新しいGSuite Identity LookupのAuthorizeをクリックします。これで、SecureW2とGoogle Workspace間の接続がテストされます。

属性の追加

IDP にカスタム属性を追加するには、次の手順を実行します:

  1. 属性マッピング タブで、追加 をクリックします。以下の画面が表示されます。
  2. Local Attributeに、属性の名前を入力します。これは、管理ポータルで属性が参照される方法となります。任意の名前を付けることができます。Defaultフィールドに、属性の説明を入力します。
  3. リモート属性フィールドで、USER_DEFINEDを選択します。SecureW2がGoogleから受信したい値を入力します。
    注:UPNは必須属性であるため、リモート属性フィールドにUPNを含む属性が少なくとも1つあることを確認する。
  4. 次へをクリックして、適切なマッピングを持つカスタム属性を作成します。
  5. さらに属性を作成する場合は、この手順を繰り返します。

グループの設定

Cloud RADIUSはUser Group Lookupを行うことができるので、ユーザーが所属するGroupsに基づいてネットワークアクセスポリシーを作成することができます。このプロセスは、前のセクションで属性を追加した方法と同じです。


  1. Groupsタブで、「Add」をクリックします。
    • Local Groupに任意の名前を付けます。この名前は、後にSecureW2管理ポータルでポリシーを構成する際に、グループとして表示されるものです。
    • Remote Groupには、Google Workspaceで設定されているグループの名前を入力します。
    • 作成をクリックします。
  2. 更新をクリックします。
  3. ネットワークポリシーを作成するグループについては、必要に応じてこの操作を繰り返します。

WPA2-Enterpriseネットワークポリシー設定の構成

ネットワーク ポリシーの目的は、Cloud RADIUS が特定のユーザー ロールにアクセスを承認する方法を指定することです。

典型的なネットワーク・ポリシーは次のようなものです:「User Role = Staffの場合、アクセスを承認し、VLAN 2に割り当てる」。

ワイヤレスコントローラに送信するRADIUS属性は自由に設定することができます。属性セクションを空白にすると、Access Acceptが送信されるだけです。Network Policyを作成・設定するには、以下の手順に従います:

  1. Policy Management > Networkに移動します。
  2. ネットワークポリシーの追加をクリックします。
  3. 名前を入力します。
  4. 保存をクリックします。
  5. 条件タブで、このネットワークポリシーを割り当てるユーザーロールを選択します。
    • ネットワークポリシーを割り当てるユーザーロールは、複数選択することができます。
  6. 設定タブで属性の追加をクリックします。
    • ワイヤレスコントローラに送信する属性を選択します。
    • 値に、属性に適した値を入力します。
    • 更新をクリックします。
      • ユーザー役割に送信するすべての属性について、必要に応じて繰り返します。

GoogleユーザーのRADIUSルックアップを設定する

Googleクレデンシャルを使用した証明書登録の設定が完了したので、さらにGoogleのRADIUSルックアップを設定して、非常に安全なネットワーク認証を行うことができるようになりました。

*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。

問い合わせはこちら

ペンティオでは、SecureW2の無料トライアルを承っております。社内環境をヒヤリングさせていただいた後にトライアル環境を準備いたします。

※トライアル環境の準備には数日要することになります。