Secure Access Service Edge:LDAP ユーザーのセキュアアクセスを確保するための SASE の使用

シナリオ

SASE は、企業のプライベートアクセス権限とインターネットアクセス権限を管理し、オフィスデータを保護するのに役立ちます。 企業のユーザー情報を管理するために LDAP を使用している場合は、LDAP IdP を SASE に接続して、ユーザーが LDAP アカウントを使用して SASE クライアントにログオンできるようにすることができます。 この方法では、SASE 用に別の ID 管理システムを維持する必要がないため、ユーザー情報の維持コストが削減されます。

企業 A が、部門 1 と部門 2 の組織構造と、Microsoft Active Directory (AD) のセキュリティグループを作成するとします。 部門 1 のユーザーは user1、user2、user3 で、user2 が管理者です。 部門 2 のユーザーは user4 と user5 で、セキュリティグループのユーザーは user2 と user4 です。 このトピックでは、LDAP のセキュリティグループの組織構造が SASE に同期され、LDAP IdP を SASE に接続する方法が説明されます。

セキュリティグループの基本識別名 (DN) は CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=sasetest,DC=com で、管理者 user2 の基本 DN は CN=Person,CN=Schema,CN=Configuration,DC=sasetest,DC=com、管理者のパスワードは 123456**** であるとします。

このトピックでは、LDAP のデフォルト属性が使用されます。 属性を変更した場合は、実際の属性を使用する必要があります。

プロセス

ステップ 1：LDAP IdP を SASE に接続する

LDAP IdP を SASE に接続して、LDAP のセキュリティグループの組織構造を SASE に同期します。

1. SASE コンソール にログオンします。 左側のナビゲーションペインで、[ID 認証と管理] > [ID アクセス] を選択します。

2. [idp 管理] タブで、[idp の追加] をクリックします。

3. [追加] パネルで、[認証タイプ] パラメーターを [単一 Idp] に、[エンタープライズ Idp] パラメーターを [LDAP] に設定します。 次に、以下の操作を実行して他のパラメーターを設定します。

   1. LDAP IdP に関する基本情報を設定し、[次へ] をクリックします。 次の表に、関連パラメーターを示します。

      パラメーター	説明	例
      Idp 設定ステータス	IdP を有効にするかどうかを指定します。 有効な値： 有効：有効な IdP がない場合は、作成した IdP を有効にできます。 IdP または IdP の組み合わせが有効になっている場合は、別の IdP または IdP の組み合わせを有効にする前に、[idp 管理] ページで IdP または IdP の組み合わせを無効にする必要があります。 無効：作成した IdP を無効にして、後で有効にすることができます。	有効
      タイプ	ディレクトリサービスのタイプ。 有効な値： Windows AD OpenLDAP	Windows AD
      設定名	AD または OpenLDAP IdP の名前。 名前は 2 ～ 100 文字で、文字、数字、ハイフン (-)、アンダースコア (_) を使用できます。	test_001
      説明	IdP の説明。 説明は、SASE クライアントにログオンタイトルとして表示されます。 これにより、ユーザーが SASE クライアントにログオンするときに、IdP 情報が提供されます。	LDAP
      サーバーアドレス	AD または OpenLDAP サーバーのアドレス。	10.10.XX.XX
      サーバーポート番号	AD または OpenLDAP サーバーのポート番号。	389 説明 実際のポート番号がわからない場合は、管理者にお問い合わせください。
      SSL 接続	AD または OpenLDAP サーバーで SSL 接続を有効にするかどうかを指定します。 有効な値： はい：SSL 接続を有効にします。 SSL 接続を有効にすると、AD または OpenLDAP サーバー上のデータが暗号化されて転送され、データセキュリティが確保されます。 いいえ：SSL 接続を無効にします。	いいえ
      基本 DN	認証されるユーザーの基本 DN。 このパラメーターを設定すると、SASE はユーザーノードのすべてのアカウントを認証します。 認証されたアカウントを使用して、SASE クライアントにログオンできます。 このパラメーターの値は、2 ～ 100 文字である必要があります。 重要 認証されるユーザーとグループが同じノードに属していない場合は、[ユーザー基本 DN] パラメーターと [グループ基本 DN] パラメーターを [詳細設定] セクションで設定する必要があります。	CN=Organizational-Unit,CN=Schema
      組織構造の同期	IdP から組織構造を取得するために使用される管理者の DN とパスワード。 重要 設定が完了すると、組織構造に基づいてセキュリティポリシーを一括で適用できます。 このプロセス中に、システムはユーザー情報を読み取りません。	管理者 user1 の DN：CN=user1,OU=Security Group,DC=sasetest,DC=com 管理者のパスワード：123456****

   2. 属性設定ステップで、パラメーターを設定し、[次へ] をクリックします。

      属性とフィルターを設定して、さまざまなグループの企業ユーザーのアクセス許可を管理できます。

      パラメーター	説明	例
      ログオンユーザー名属性	ログオンユーザー名属性を設定して、企業ユーザーのユーザー名の形式を指定します。 この属性は、企業で定義する必要があります。 次のデフォルトユーザー名属性のいずれかを選択できます：cn、name、givenName、displayName、userPrincipalName、sAMAccountName。 [ログオンユーザー名属性] パラメーターに別の LDAP 定義属性を入力することもできます。 重要 userPrincipalName はドメインサフィックスです。 [ログオンユーザー名属性] パラメーターに userPrincipalName を選択した場合、企業ユーザーはログオン時にドメインサフィックスを入力する必要があります。 例：user***@aliyundoc.com。	cn
      表示ユーザー名属性	表示ユーザー名属性を設定して、SASE クライアントに表示される企業ユーザーのユーザー名の形式を指定します。 この属性は、企業で定義する必要があります。 表示ユーザー名はアカウントユーザー名です。 次のデフォルトユーザー名属性のいずれかを選択できます：cn、name、givenName、displayName、userPrincipalName、sAMAccountName。 [表示ユーザー名属性] パラメーターに別の LDAP 定義属性を入力することもできます。	cn
      グループ名属性	グループ名属性を設定して、企業のグループ名の形式を指定します。 この属性は、企業で定義する必要があります。 次のデフォルトユーザー名属性のいずれかを選択できます：cn、name、sAMAccountName。 [グループ名属性] パラメーターに別の LDAP 定義属性を入力することもできます。	cn
      グループマッピング属性	グループマッピング属性を設定して、企業ユーザーが属するグループを定義します。 デフォルト値：memberOf。 重要 このパラメーターはオプションです。 このパラメーターを設定する場合は、このパラメーターが LDAP の グループマッピング属性 に指定された値と一致していることを確認してください。	memberOf
      グループフィルター	グループフィルターを指定して、さまざまなグループの企業ユーザーをフィルタリングし、グループ別に企業ユーザーのアクセス許可を管理できるようにします。 一般的な LDAP フィルターの例： (&(objectClass=organizationalUnit)(objectClass=organization))：objectClass 属性が organizationalUnit と organization に一致するグループを検索します。 (|(objectClass=organizationalUnit)(objectClass=organization))：objectClass 属性が organizationalUnit または organization に一致するグループを検索します。 (!(objectClass=organizationalUnit))：objectClass 属性が organizationalUnit に一致しないグループを検索します。 LDAP 一致ルールの詳細については、「LDAP フィルター」をご参照ください。	(objectClass=organizationalUnit)
      ユーザーフィルター	ユーザーフィルターを指定して、1 人のユーザーまたはユーザーのタイプを検索します。 一般的な LDAP フィルターの例： (&(objectClass=person)(objectClass=user))：objectClass 属性が person と user に一致するユーザーを検索します。 (|(objectClass=person)(objectClass=user))：objectClass 属性が person または user に一致するユーザーを検索します。 (!(objectClass=person))：objectClass 属性が person に一致しないユーザーを検索します。 LDAP 一致ルールの詳細については、「LDAP フィルター」をご参照ください。	(objectClass=person)
      メール属性	メールアドレス属性を指定します。 重要 LDAP でメールアドレスを識別するために使用されるデフォルト属性は、email です。 この属性が LDAP の メールアドレス属性 に指定された値と一致していることを確認してください。	email
      携帯電話番号属性	携帯電話番号属性を指定します。 重要 LDAP で携帯電話番号を識別するために使用されるデフォルト属性は、telephoneNumber です。 この属性が LDAP の 携帯電話番号属性 に指定された値と一致していることを確認してください。	telephoneNumber

   3. ログオン方法と認証方法を設定します。

      パラメーター	説明	例
      PC ログオン方法	アカウントとパスワードでログオン パスワードなしログオン	アカウントとパスワードでログオン
      2 要素認証	確認コードベースの認証：テキストメッセージ検証を選択した場合は、IdP の各ユーザーに携帯電話番号があることを確認してください。 OTP ベースの認証：このオプションを選択した場合は、ワンタイムパスワード (OTP) クライアントのクロック同期が想定どおりに機能していることを確認してください。 Google Authenticator、Microsoft Authenticator、Alibaba Cloud App などの一般的な OTP クライアントがサポートされています。	テキストメッセージ検証

      テスト失敗メッセージが表示された場合は、サーバーアドレスやサーバーポートなどの情報が有効かどうかを確認してください。

4. [OK] をクリックします。

   [ログオンテスト] をクリックして、設定が有効かどうかを確認できます。

   説明

   設定が無効な場合、SASE は対応するエラーを表示します。 [ログオンテスト] をクリックした後、[LDAP サーバーに接続できませんでした。 管理者にお問い合わせください。] というメッセージが表示される場合があります。 この場合は、サーバーアドレスとポート番号が有効かどうか、およびネットワークが接続されているかどうかを確認してください。

   LDAP IdP を SASE に接続した後、[ユーザーグループ管理] タブに移動し、[ユーザーグループの作成] をクリックします。 表示されるパネルで、LDAP IdP の組織構造が同期されているかどうかを確認します。

   システムがデータを同期するには約 30 秒かかります。 30 秒経過してもデータが同期されない場合は、[ユーザーグループ管理] ページを更新します。

ステップ 2：IdP が接続されているかどうかを確認する

上記の設定が完了したら、以下の操作を実行して、IdP が SASE に接続されているかどうかを確認します。

1. ダウンロードした SASE クライアントを開きます。

2. [SASE クライアントログオン] ページで、企業認証 ID を入力し、[確認] をクリックします。

   企業認証 ID は、SASE コンソールの設定ページ で取得できます。

3. オプション。SMS 検証ページで、受信した検証コードを入力します。

   SMS 検証を設定していない場合は、このページは表示されません。

4. user1 のアカウントとパスワードを使用してログオンします。

   認証に成功すると、IdP は SASE に接続されます。