OneLogin RADIUS

OneLogin RADIUSとは

OneLogin RADIUSは、無線LANやVPN接続をそれぞれの機器内部のユーザー情報で判定するのではなく、それぞれの機器がOneLoginにユーザー判定を委任・認証するための機能です。このユーザー認証に利用できる方式は、OneLogin ID/PWで判定します。例えば、社内の無線LAN接続にもOneLoginユーザーごとのID/PWを知っていれば接続できます。このため無線AP接続の共通PWを全ユーザーで運用するリスクから解放されます。

Meraki MRシリーズとの連携

ここではCisco Merakiを例に、Cisco Meraki MRシリーズのアクセスポイントとの連携手順をご紹介します。

ペンティオの日本語ドキュメント

• Meraki APへのRADIUS設定
• Meraki 無線LAN エンタープライズ認証の設定方法(ご契約者ヘルプセンターへ)
• Windows 10 クライアント設定
• Meraki 無線LAN エンタープライズ認証 - Windows 10 クライアント設定(ご契約者ヘルプセンターへ)
• macOS / iOS
• Meraki 無線LAN エンタープライズ認証 - macOS / iOS クライアント設定(ご契約者ヘルプセンターへ)

米国OneLoginの英語ドキュメント

• Meraki APへのRADIUS設定
• https://onelogin.service-now.com/support/?id=kb_article&sys_id=cab24434db3c5010d5505eea4b961948
• Windows 10
• https://onelogin.service-now.com/support/?id=kb_article&sys_id=70834a73dba353c424c780c74b9619ad
• Windows 8
• https://onelogin.service-now.com/support/?id=kb_article&sys_id=de140ec4db9114d024c780c74b961933
• macOS / iOS
• https://onelogin.service-now.com/support/?id=kb_article&sys_id=dfe9d143db109700d5505eea4b9619f1
• Android
• https://onelogin.service-now.com/support/?id=kb_article&sys_id=5bf95543db109700d5505eea4b9619c5

RADIUS によるユーザー認証の注意点

OneLogin RADIUSに限らずアクセスポイントの認証においてエンタープライズ認証をご採用いただく際、これらのことにご注意ください。また利用前には必ず社内のネットワーク管理者やアクセスポイントをご購入されたベンダー様に導入メリット・デメリット等をご確認頂いた上でご設定くださいますよう、お願い申し上げます。

• OSログオンするまではWi-Fiに接続できません
• インターネット接続がオフラインの場合はWi-Fiに接続できません

Wi-Fi（アクセスポイント）認証での利用について

RADIUSサービスは以下の方式で利用いただけます

RADIUSプライマリサーバー	radius.us.onelogin.com
RADIUSセカンダリサーバー	radius2.us.onelogin.com
認証スキーマ	PAP EAP-TTLS/PAP EAP-PEAP/MS-CHAPv2
RADIUSポート	UDP/1812. ＊ポート番号は変更できません
シークレットキー	OneLogin RADIUS設定で30桁以内の任意の英数字記号
サーバー証明書	OneLogin RADIUSサーバーの証明書 中間証明書 ルート証明書

Amazon WorkSpaces での利用について

OneLogin RADIUSはAmazon WorkSpacesのユーザー認証にワンタイムパスワードによるMFA認証をアドオンする目的で、MFA RADIUSサーバーとしてご利用頂くことが可能です。詳しくはご契約者ヘルプセンターをご覧ください。

ご利用上の注意点

EAP-TTLS/PAP または PAP ご利用における注意点

• 特記事項はございません。

EAP-PEAP/MS-CHAPv2ご利用における注意点

• OTP認証は利用できません
• パスワードのハッシュ値を取得する必要がある

実績のあるRADIUSクライアント

弊社または弊社のお客様からご利用の実績があるとして収集した検証結果をもとにご提供いたします。
＊弊社が動作を保証または設定方法をご案内するものではございません

アクセスポイント（無線LAN）

• Cisco Meraki（MRシリーズ）
• Cisco Small Business WAP125/150
• Extreme Networks（旧Aerohive）
• Aruba Networks（IAPシリーズ）

ファイアウォール / ルーター / スイッチ

• Fortinet FortiGate（VPN認証）
• Netgear Insight GC510P
• Netgear GS108PP-100AJS
• Netgear GS716T-300AJS
• Yamaha RTX830 / RTX1210

VPN / Proxy

• SoftEther VPN Server
• Squid Proxy
• Meraki CloudVPN（MXシリーズ）

VDI

• Amazon WorkSpaces（OTP認証のみ）
• VMware Horizon 7

OneLogin RADIUSを利用して二要素認証で安全にAmazon WorkSpacesにログインする

実現できること

OneLogin導入のメリット

1. MFA（OneLogin OTP, Google Authenticator, RSA SecureID, Duo Secrity, YubiKey）によるアクセスユーザー認証強化
2. 物理的なRADIUSサーバーを用意せずに、クラウドソリューション組み合わせで実現
3. Amazon WorkSpacesユーザー認証をActive Directoryで判定・ログ取得
4. Amazon WorkSpacesから自社ネットワーク・自社業務アプリへのアクセス

さらにこんなに便利になります

従来、RADIUSサーバーを用意するには、自社オンプレミスに物理サーバーを構築するのが一般的でした。OneLoginを利用すると物理サーバーを用意することなく、OneLogin RADIUS機能をONにすることで、すぐに利用を開始できます。

また、OneLogin + RADIUS認証の構成をとることで、ユーザー認証を可否をOneLoginで管理することや、社内用務アプリへのアクセスをコントロールすることもできます。

Amazon WorkSpacesユーザー認証の判定は OneLoginで判定することができます。OneLoginでユーザーを休止に変更するとAmazon WorkSpacesユーザー認証は許可されません。VDI利用可否をOneLoginでコントロールできます。また、この際の認証ログはOneLoginに蓄積することができますので、Sumo LogicなどのSIEMサービスによる可視化にも対応できます。 さらに、RADIUS+Active Directory認証の構成をとることで、Amazon Workspaces環境と社内ネットワークとが同一ネットワークとなるため、VDI環境から自社内業務アプリへのアクセスも可能となり大変便利です。