ペンティオオリジナル記事

Entra IDのユーザー無効化によりMerakiネットワークへの接続を即時遮断する

〜IDaaSによるネットワーク認証認可連携 Part 2〜

昨今、サイバー攻撃の増加やコンプライアンス遵守の必要性から、ネットワークセキュリティ強化が求められています。特に、クライアント証明書のステータス変更やユーザーのアクセス権限の更新が即座にネットワークインフラに反映されないことから、不正アクセスや不適切なデバイス接続が長時間許容されるリスクが問題視されています。

これに対してEntra ID × SecureW2 × Cisco Meraki連携ソリューションを導入することで、Entra ID上のユーザー無効化/削除をトリガーに、証明書失効およびネットワーク接続遮断をリアルタイムで実現します。これによりセキュリティの強化と運用効率の向上を実現できます。

補足

本記事では、Entra ID × SecureW2 × Cisco Meraki連携ソリューションのうちSecureW2 × Cisco Meraki連携について検証しました。前提条件としてEntra ID × SecureW2連携が必要となりますので以下をご確認ください。

・Entra IDのユーザー削除によりMerakiネットワーク接続用の証明書を自動失効する〜IDaaSによるネットワーク認証認可連携 Part 1〜

・Entra IDのユーザー削除によりMerakiネットワークへの接続を即時遮断する〜IDaaSによるネットワーク認証認可連携 Part 2〜(表示中)

Entra ID × SecureW2 × Cisco Meraki連携ソリューションの紹介

基本環境構築 構成

Entra ID × SecureW2 × Cisco Meraki連携ソリューションは、Entra ID上のユーザー無効化/削除をトリガーとして、そのユーザーに紐づいた証明書の失効およびネットワーク接続の遮断をリアルタイムで実現します。そのため管理者が証明書失効やAP設定をする必要なく、Entra IDからユーザーステータスを変更するだけでそのデバイスからのネットワークアクセスを制御することができます。また一連の動作はSecureW2の機能である「Event Hooks」、「Real-Time Intelligence (RTI)」を使用することで実現しています。

仕組みについてご説明します。

  1. 管理者がEntra ID上の対象ユーザーを無効化/削除します。
  2. 「Event Hooks」 が動作し、証明書失効が指示されます。
  3. 対象ユーザーに紐づいている証明書が失効されます。
  4. 証明書失効をトリガーとして「Real-Time Intelligence (RTI)」が動作し、Cisco Merakiのアクセスポリシー要件が変更されます。
  5. デバイスからのネットワーク接続が遮断されます⁠

前提条件

  • SecureW2の管理者アカウントを保有していること
  • SecureW2のライセンス「Dynamic RADIUS」を契約していること
  • SecureW2のライセンス「JoinNow Real-Time Intelligence」を契約していること
  • Entra ID × SecureW2 連携(Event Hooksの設定) が済んでいること※
  • SecureW2発行のクライアント証明書の配布・登録が済んでいること
  • Cisco Merakiの管理者アカウントをお持ちであること

※Entra ID × SecureW2 連携(Event Hooksの設定)についてはこちらをご覧ください。

Real-Time Intelligence(RTI) の動作概要

RTIの動作概要

Real-Time Intelligence (RTI)とはSecureW2の機能の1つであり、証明書の失効をトリガーにネットワークからの即時遮断を行う機能です。この機能を設定すると、証明書が失効されてから約1~2分程度でデバイスとネットワークの接続が遮断されます。

具体的な仕組みについてご説明します。

  1. SecureW2の証明書を失効したことをトリガーに、失効された証明書がSecureW2のクラウドRADIUSで認証に使用されていたかをログから検出します。
  2. 認証成功していたデバイスを確認でき次第、RADIUSメッセージから抽出したサプリカントのMACアドレスを識別し、Cisco Merakiなどのコントローラーに対して当該MACアドレスのアクセスをブロックするようAPIやコンソールアクセスを管理者に代わって実施します。
  3. デバイスのネットワーク接続を遮断します。

MACアドレスがブロックされるため、原則そのデバイスはネットワークに参加できなくなります。また、例えば無線LAN接続を有線LAN接続に切り替えたり、MACアドレスを偽装して再接続を試みても、既にクライアント証明書が失効されているため、再認証時には802.1X認証によりアクセス拒否され、ネットワークへの接続は認められません。

⁠作業詳細

主な作業内容は、Cisco MerakiとSecureW2でそれぞれ次の通りです。

⁠作業詳細

上図のように、API Keyを生成し、Cisco Merakiの情報をSecureW2で設定するだけで簡単にReal-Time Intelligenceをご利用いただけます。

⁠具体的な作業手順

SecureW2とCisco Merakiの設定

  1. JoinNow Management Portal にログインし、External Connections > Configuration をクリックします。

    ⁠具体的な作業手順1

  2. [ Add External Connection ] をクリックします。

    ⁠具体的な作業手順2

  3. 以下のように入力したら、[ Save ] をクリックします。

    項目名 設定値 項目の説明
    Name 例: 検証デモ 例: Merakiのネットワーク名
    Type 【 Cisco Meraki 】(選択) ネットワーク機器名
    ⁠具体的な作業手順3
  4. Configurationタブに移動し、Cisco Merakiから必要な情報を取得しSecureW2に入力していきます。 ⁠具体的な作業手順4
  5. Merakiにログインし、SecureW2の以下の項目に入力します。
    6. 項目名 設定値 項目の説明
    Controller URL 例: https://my.meraki.com/ MerakiのURL①
    Meraki Network Name 例: 検証デモ Merakiのネットワーク名②
    ⁠具体的な作業手順5 ⁠具体的な作業手順6
  6. Merakiの左タブにて、Organization > Settings をクリックします。 ⁠具体的な作業手順7
  7. オーガナイゼーションの名前を、SecureW2の以下の項目に入力します。
    項目名 設定値 項目の説明
    Meraki Organization Name 例: Pentio Dev Merakiのオーガナイゼーションの名前③
    ⁠具体的な作業手順8 ⁠具体的な作業手順9
  8. Organization > API & Webhooks をクリックします。 ⁠具体的な作業手順10
  9. API Keys and access タブに移動し、Generate API key をクリックします。 ⁠具体的な作業手順11
  10. API キーが表示されるので、SecureW2へコピー&ペーストします。保存したら [ Done ] をクリックします。 ⁠具体的な作業手順12 ⁠具体的な作業手順13
  11. [ Validate ] をクリックして、テスト接続を行います。「Connection verified successfully」と表示されたら、[ Update ] をクリックします。 ⁠具体的な作業手順14

設定方法は以上となります。

⁠動作確認

Entra ID × SecureW2 × Cisco Meraki連携ソリューションの動作を一貫して確認します。具体的には以下の項目を確認します。

  • クライアント証明書を用いて無線LANへ接続する

  • ユーザー無効化後、クライアント証明書が失効される

  • 同時に、そのデバイスのネットワーク接続が遮断される

こちらの動画をご覧ください。

  1. ユーザー「demo user for Event Hooks (demo@oneloginjp.onmicrosoft.com)」は現在有効なステータスになっています。 ⁠具体的な作業手順14

  2. 無線LANへ接続します。 ⁠具体的な作業手順15

  3. ユーザーを無効化します。 ⁠具体的な作業手順16

  4. ユーザー無効化がトリガーとなり、配布されていた証明書が即時失効されました。 ⁠具体的な作業手順16

  5. 証明書失効後、デバイスのネットワーク接続が遮断されました。 ⁠具体的な作業手順16

Macをご利用の方はこちらも併せてご覧ください。

おわりに

今回は、Entra ID上のユーザー無効化/削除をトリガーに、クライアント証明書失効およびネットワーク接続の遮断について検証しました。今回の検証にて使用したReal-Time Intelligence (RTI)とはSecureW2の機能の1つであり、ユーザーステータスに応じてCisco Merakiのアクセスポリシー要件変更を自動で行います。Entra ID × SecureW2 × Cisco Meraki連携ソリューションのメリットとして以下のようなものがあります。

  • Entra IDの状態に応じたアクセスコントロール:RADIUS認証のIDソースとしてEntra IDを利用することで、IDaaSによる統合された認証・認可をネットワークアクセス制御に提供します。

  • リアルタイムなクライアント証明書失効、アクセスコントロール:本記事で紹介したEvent Hooks、Real-Time Intelligenceはユーザーの無効化/削除を実行後、約1-2分で動作します。

そのため社員の退社/異動に伴う工数の削減など管理者の負担が軽減されるだけでなく、リアルタイムなアクセスコントロールなどIDaaSを中心としたネットワーク運用を可能にします。 ぜひEntra ID × SecureW2 × Cisco Meraki連携ソリューションの導入を検討してみてはいかがでしょうか。以上で「Entra IDのユーザー無効化によりMerakiネットワークへの接続を即時遮断する 〜IDaaSによるネットワーク認証認可連携 Part 2〜」を終わります。

ソリューション詳細パンフレットをダウンロード

クラウドRADIUS認証 for Aruba Wi-Fi 構成図

この資料でわかること

  • MerakiコントローラとSecureW2の連携
  • Cisco Meraki CW9164 特徴
  • SecureW2クラウドRADIUSの機能

SecureW2セミナーはこちらから

おすすめ記事

Cisco Meraki MRの802.1X 無線認証にSecureW2のクラウドRADIUSを利用する

Juniper Mistの無線認証にSecureW2のクラウドRADIUSを利用する

Aruba IAPの無線認証にSecureW2のクラウドRADIUSを利用する

Extreme Networksの無線認証にSecureW2のクラウドRADIUSを利用する

ヤマハWLXの802.1X 無線認証にSecureW2のクラウドRADIUSを利用する

Ubiquiti UniFiの802.1X認証にSecureW2のクラウドRADIUSを利用する

ACERAの無線認証にSecureW2のクラウドRADIUSを利用する

目次

カテゴリ
OneLogin
SecureW2
Stellar Cyber

まずはお気軽にご相談ください

4/16(水) 開催!
IDaaS OneLoginオンラインセミナー
― OneLoginからAWS IAM Identity
Centerへの最新セットアップ ―

Check!!
申し込みは
こちら

4/15(火) 開催!
― RADIUSサーバーを通じた無線LAN認証を安全に実現する手法をご紹介します ―

Check!!
申し込みは
こちら