Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Google Workspace をアイデンティティ プロバイダとして統合する

Juniper Mist Access Assuranceを使用すると、アイデンティティプロバイダ(IdP)としてGoogle Workspaceと統合し、次のユースケースで安全なライトウェイトディレクトリアクセスプロトコル over SSL(LDAPS)コネクタを活用できます。

  • 証明書ベース(EAP-TLS または EAP-TTLS)認証の場合:
    • このユーザー ID に基づく認証ポリシーをサポートするためのユーザー グループ メンバーシップ情報を取得します。
    • ユーザー アカウントの状態 (アクティブまたは中断) を取得します

  • PAP を使用した EAP-TTLS

    • Google の ID プロバイダによる認証のためにユーザ名とパスワードを確認します

Google Workspace での設定

次の手順は、Juniper Mist を使用して Google Workspace をアイデンティティ プロバイダ(IdP)として設定する方法を示しています。

  1. Google 管理者の認証情報を使用して、Google ワークスペース ポータルにログインします。

    Google 管理コンソールが表示されます。

  2. LDAP クライアントを作成します。
    1. Google 管理コンソールの左側のナビゲーション バーで、[アプリ] > [LDAP ] に移動し、[クライアントを追加] をクリックします。
    2. LDAP クライアント名とオプションの [説明] を入力し、[続行] をクリックします。

      LDAP クライアントを追加すると、[ アクセス許可 ] ページが表示されます。

  3. ユーザー資格情報を検証するためのアクセス許可を構成します。

    次のオプションを使用できます。

    • ユーザー資格情報の検証 - EAP-TTLS/PAP を使用したユーザー資格情報の認証を許可します。この設定では、LDAP クライアントがユーザーの資格情報を確認するためにアクセスできる組織グループを指定します。
    • ユーザー情報の読み取り - 基本的なユーザー情報を読み取ることができます。この設定では、追加のユーザー情報を取得するために LDAP クライアントがアクセスできる組織部門とグループを指定します。
    1. 特定の組織が必要ない場合は、両方のオプションで [ドメイン全体] を選択します。
    2. [グループ情報を読む] まで下にスクロールします。この設定では、LDAP クライアントがグループの詳細を読み取って、ユーザーのグループ メンバーシップを確認できるかどうかを指定します。

      アクセス許可の設定と LDAP クライアントの追加が完了すると、同じページで証明書が自動的に生成されます。

  4. 生成された LDAPS クライアント証明書をダウンロードします。
    1. [証明書のダウンロード] をクリックし、ダウンロードした証明書を安全な場所に保存します。この証明書は、Juniper Mist ポータルで IdP を設定するときに必要になります。
    2. [クライアントの詳細に進む] をクリックします。

      <LDAP クライアント名の設定> ページが表示されます。

    3. [認証] セクションを展開します。
    4. 「アクセス資格情報」で、「新規資格情報の生成」をクリックします。

      ユーザー名とパスワードは、[ アクセス資格情報 ] ページで確認できます。

      ユーザー名とパスワードをコピーして保存します。Juniper Mist クラウドポータルのLDAPSクライアント設定については、これらの詳細が必要です。

  5. LDAP クライアントのサービス状況を [オン] に変更して、LDAP クライアントサービスを有効にします。この手順により、セキュア LDAP サービスを使用してクライアントを設定できます。
    1. Google 管理コンソールから [アプリ] > [LDAP] にアクセスします。クライアントを選択し、[サービスの状態] をクリックします。

      ページの右上に表示されるサービスの状態は、最初は OFF に設定されています。

      すべてのユーザーに対して [オン] を選択して、サービスを有効にします。変更がGoogle側に適用されるまでしばらくお待ちください。

Juniper Mistダッシュボードの設定

  1. Juniper Mistポータルで、左側のメニューから[組織]>[アクセス]> [アイデンティティプロバイダ]を選択します。

    [ID プロバイダー] ページが表示され、構成された IdP (存在する場合) のリストが表示されます

    図 1: [ID プロバイダー] ページ Identity Providers Page
  2. [IDP の追加] をクリックして、新しい IdP を追加します。
  3. [新しい ID プロバイダ] ページで、Google Workspace と統合するために必要な情報を入力します。
    図 2: ID プロバイダーの詳細の更新 Update Identity Provider Details

    次に、Google Workspace LDAP エンドポイントと統合するように LDAPS コネクタを構成します。

    • 名前 - IdP 名を入力します。(この例では、 Google Workspace と入力します)。
    • IDP タイプ - LDAPS を選択します。
    • LDAP タイプ: [カスタム] を選択します。
    • グループ フィルター - memberOf を選択します。このオプションは、 グループ属性からグループ メンバーシップを取得するために必要です。
    • メンバー フィルター - memberOf を選択します。
    • ユーザー フィルター: (mail=%s) を入力します。
    • サーバ ホスト - 「 ldap.google.com」と入力します。
    • ドメイン名 - Google ワークスペースのドメイン名を入力します。たとえば、 abc.com などです。
    • バインド DN - 前の手順で Google から提供されたユーザー名を使用します。
    • バインドパスワード:上記のユーザ名のパスワードを入力します。
    • ベース DN - Google ワークスペースのドメインと一致するベース DN を設定します。たとえば、ドメインが abc.com の場合、ベース DN は dc=abc,dc=comです。
  4. [CA 証明書] セクションで、[証明書の追加] をクリックし、次の 2 つの証明書を貼り付けます。
    図 3: CA 証明書Add CA Certificateの追加
  5. [クライアント証明書] で、Google からダウンロードしたクライアント証明書を追加します。次のサンプルに示すように、.key で終わるファイルを [秘密キー] の下に配置し、.crt で終わるファイルを [署名付き証明書] の下に配置します。
    図 4: クライアント証明書Add Client Certificateの追加

    保存」をクリックします。

Juniper Mistポータルで、[>インサイト>クライアントイベントの監視]に移動します。

EAP-TTLS を使用してユーザーを認証すると、ユーザーグループのメンバーシップ情報を取得する NAC IDP 認証成功 イベントと NAC IDP グループ検索成功 イベントを確認できます。

Google Workspace で EAP-TTS を使用してユーザーを認証すると、ユーザーグループのメンバーシップ情報を取得するイベント「 NAC IDP グループ検索成功 」を確認できます。
図 5: IDP グループ検索成功認証イベント IDP Group Lookup Success Authentication Event

EAP-TTLS 認証の場合は、 NAC IDP 認証成功 イベントを確認できます。このイベントは、Google Workspace でユーザーの資格情報が検証されたことを示します。

図 6: IDP 認証成功イベント IDP Authentication Success Event

認証ポリシー ルールで Google Workspace の IDP ロールを利用して、ユーザーの役割に基づいてネットワークのセグメント化を実行できます。

ROPC を使用した EAP-TTLS と Azure AD について

拡張認証プロトコル - トンネル TLS (EAP-TTLS) では、Azure AD での LDAPS OAuth フローを利用してユーザー認証を実行します。これは、MFA なしでユーザー名とパスワードを使用するレガシ認証の使用を意味します。この方法を採用する際に考慮すべきいくつかの要因があります。

  • GPO または MDM からの正しい Wi-Fi プロファイルを使用してクライアント デバイスを構成します。 ログイン プロンプトでユーザー名とパスワードのみを指定すると、一部のオペレーティング システムでは機能しません。
  • ユーザーは、ユーザー名を入力するために Google メール ID(username@domain)ユーザー名形式を使用する必要があります。
  • サーバー証明書を信頼するようにクライアントを構成します。 デジタル証明書の使用を参照してください。

関連項目