すべてのプロダクト
Search

このプロダクト

    VPN Gateway:AD 認証を用いた SSL-VPN 接続の確立

    ドキュメントセンター

    VPN Gateway:AD 認証を用いた SSL-VPN 接続の確立

    最終更新日:Mar 31, 2026

    SSL-VPN の二要素認証機能は、クライアントが SSL クライアント証明書による認証と、Identity as a Service (IDaaS) を介したユーザー名およびパスワードによる認証の 2 つのチェックに合格することを要求することで、セキュリティを強化します。両方の認証が成功した場合にのみ、SSL-VPN 接続が確立されます。IDaaS 認証を利用する場合、Active Directory (AD) サーバーをバインドして AD 認証を実装できます。本トピックでは、AD 認証を通過したクライアントが Virtual Private Cloud (VPC) に対して SSL-VPN 接続を確立し、その後 VPC 内のリソースにアクセスできるようにするための、SSL-VPN 二要素認証機能の使用方法について説明します。

    ユースケース

    本トピックでは、上記の図に示すシナリオを使用します。ある企業は、中国 (杭州) リージョン内の VPC にデプロイされた ECS インスタンス上でアプリケーションを稼働させています。ビジネスニーズに対応するため、出張中の従業員が VPC 内のリソースにリモートアクセスできる必要があります。この企業は、オンプレミスの AD システムを自社で運用しており、従業員が VPC リソースにアクセスする前に AD サーバーによる認証を必須としています。

    この企業は、VPN ゲートウェイの SSL-VPN 機能を活用し、二要素認証を有効化したうえで、AD 認証用の IDaaS アプリケーションを構成できます。従業員が SSL-VPN 接続を確立しようとする際、まずクライアントは SSL クライアント証明書によって認証されます。その後、IDaaS EIAM インスタンスが、従業員のユーザー名およびパスワードを企業の AD サーバーに転送して検証を行い、その結果を返します。両方の認証方式が成功した場合にのみ、クライアントは SSL-VPN 接続を確立し、VPC 内のリソースにアクセスできます。

    前提条件

    • 中国 (杭州) リージョンに VPC を作成し、その VPC 内の ECS インスタンスにアプリケーションをデプロイ済みである必要があります。詳細については、「IPv4 CIDR ブロックを持つ VPC の作成」をご参照ください。

      ECS インスタンスに適用されるセキュリティグループルールが、クライアントによるクラウドリソースへのアクセスを許可していることを確認してください。詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。

    • クライアントがパブリックネットワークにアクセスできること、およびクライアントのプライベート CIDR ブロックが VPC のプライベート CIDR ブロックと重複していないことを確認してください。

    • Enterprise Edition の IDaaS EIAM インスタンスを作成済みである必要があります。詳細については、「インスタンス管理」をご参照ください。

      重要

      • IDaaS EIAM 1.0 インスタンスは、新規購入ができなくなりました。IDaaS EIAM 2.0 インスタンスのご利用を推奨します。本トピックでは、IDaaS EIAM 2.0 インスタンスを例として使用しています。詳細については、「[変更通知] SSL-VPN 二要素認証が IDaaS EIAM 2.0 をサポート」をご参照ください。

      • IDaaS EIAM 1.0 インスタンスの使用方法については、「IDaaS EIAM 1.0 の構成」をご参照ください。

    • AD サーバーのパブリック IP アドレスおよびサービスポートを把握している必要があります。

      本例では、AD システムが Windows Server 2022 システム上にデプロイされています。パブリック IP アドレスは 47.XX.XX.62、サービスポートは 389 です。

    • AD サーバーの Base DN を把握している必要があります。

      本例では、AD サーバーの Base DN は dc=zxtest,dc=com です。

    • AD サーバーの管理者 DN、ユーザー名、およびパスワードを把握している必要があります。

      本例では、管理者アカウント名は Administrator、パスワードは 1****2 です。DN は cn=Administrator,cn=Users,dc=zxtest,dc=com であり、以下の図に示すとおりです。管理员DN

    操作手順

    ステップ 1:AD サーバーのバインド

    IDaaS EIAM インスタンスに AD サーバーをバインドすると、AD サーバーからアカウント情報を同期できます。詳細については、「AD のバインド - インバウンド」をご参照ください。

    本例では、AD サーバーのバインド時に必須パラメーター以外はすべてデフォルト値を使用します。以下の図には、AD サーバーから IDaaS EIAM インスタンスへ同期されたアカウント情報が示されています。

    2024-05-10_17-09-24

    ステップ 2:SSL-VPN アプリケーションの追加

    1. IDaaS コンソール にログインします。

    2. EIAM ページで、前提条件 セクションで作成した IDaaS EIAM インスタンスを見つけます。Actions 列で、Console をクリックします。

    3. EIAM インスタンスの左側ナビゲーションウィンドウで、Application を選択します。Application ページで、Add Application をクリックします。

    4. Add Application ページで、Alibaba Cloud - SSL VPN テンプレートを見つけ、Add Application をクリックします。

    5. アプリケーションの追加ダイアログボックスで、アプリケーション名を入力し、追加 をクリックします。

    6. アプリケーションの詳細ページの Sign-In タブで、以下の設定を構成し、タブの下部にある Save をクリックします。

      SSO この機能を有効なままにしてください。

      Grant Types:デフォルト値は Password Grant です。IdP として、バインドした AD サーバーを選択します。システムは、この AD サーバーを使用して従業員の ID を認証します。

      Authorize:デフォルト値の Manually を使用します。このオプションでは、特定のアカウントに対してこのアプリケーションへのアクセス権限を手動で付与する必要があります。権限付与範囲の詳細については、「権限付与範囲」をご参照ください。

    7. Sign-In タブのまま、Application Authorization タブをクリックします。

      SSL-VPN 接続を確立する必要がある従業員アカウントの権限付与を追加します。詳細については、「アプリケーション権限付与」をご参照ください。

    ステップ 3:VPN ゲートウェイの作成

    1. VPN ゲートウェイコンソール にログインします。

    2. VPN Gateway ページで、VPN Gateway の作成 をクリックします。

    3. VPN ゲートウェイ ページで、以下の情報をもとに VPN ゲートウェイを構成し、今すぐ購入 をクリックして支払いを完了します。

      本トピックでは、必須パラメーターのみを説明します。その他のパラメーターはデフォルト値を使用します。詳細については、「VPN ゲートウェイインスタンスの作成および管理」をご参照ください。

      パラメーター

      説明

      リージョン

      VPN ゲートウェイを作成するリージョンを選択します。本例では、中国 (杭州) を選択します。

      説明

      VPN ゲートウェイは、VPC と同じリージョンに配置する必要があります。

      ゲートウェイタイプ

      VPN ゲートウェイのタイプを選択します。本例では、標準 を選択します。

      ネットワークタイプ

      VPN ゲートウェイインスタンスのネットワークタイプを選択します。本例では、パブリック を選択します。

      トンネル

      システムは、現在のリージョンで IPsec-VPN 接続にサポートされているトンネルモードを表示します。

      仮想プライベートクラウド

      接続先の VPC インスタンスを選択します。

      vSwitch 1

      VPC インスタンスから vSwitch を選択します。

      • 「[Single-tunnel]」を選択した場合、vSwitch を 1 つだけ指定する必要があります。

      • デュアルトンネルを選択した場合は、2 つの vSwitch を指定する必要があります。

        IPsec-VPN 機能を有効化すると、システムは 2 つの vSwitch のそれぞれに弾性ネットワークインターフェイス (ENI) を作成し、IPsec-VPN 接続を介して VPC と通信するためのインターフェイスとして使用します。各 ENI は vSwitch 内で 1 つの IP アドレスを占有します。

      説明

      • システムはデフォルトで vSwitch を選択します。デフォルトの vSwitch を変更またはそのまま使用できます。

      • VPN ゲートウェイを作成した後は、VPN ゲートウェイに関連付けられた vSwitch を変更できません。VPN ゲートウェイの詳細ページで、VPN ゲートウェイに関連付けられた vSwitch、その vSwitch が属するゾーン、および vSwitch 内の ENI を確認できます。

      vSwitch 2

      VPC インスタンスから 2 番目の vSwitch を選択します。

      • 関連付けられた VPC 内で異なるゾーンに配置された 2 つの vSwitch を指定すると、IPsec-VPN 接続のゾーン間ディザスタリカバリを実現できます。

      • 1 つのゾーンのみをサポートするリージョンでは、ゾーン間ディザスタリカバリはサポートされていません。IPsec-VPN 接続の高可用性を実現するために、同じゾーン内に 2 つの vSwitch を指定することを推奨します。また、最初の vSwitch と同じ vSwitch を選択することもできます。

      説明

      VPC 内に 2 番目の vSwitch が存在しない場合は、作成できます。詳細については、「vSwitch の作成および管理」をご参照ください。

      IPsec-VPN

      IPsec-VPN 機能を有効化するかどうかを指定します。本例では、無効化 を選択します。

      SSL-VPN

      SSL-VPN 機能を有効化するかどうかを指定します。本例では、有効化 を選択します。

      SSL 接続

      接続可能なクライアントの最大数を選択します。

      説明

      SSL 接続数 は、SSL-VPN 機能を有効化した後にのみ構成できます。

    4. 作成した VPN ゲートウェイインスタンスを確認するため、VPN Gateway ページに戻ります。

      新しく作成された VPN ゲートウェイインスタンスは 準備中 状態です。1~5 分後、状態が 正常 に変わります。正常 状態は、VPN ゲートウェイが初期化され、使用可能であることを意味します。

    ステップ 4:SSL サーバーの作成

    1. 左側のナビゲーションウィンドウで、相互接続 > VPN > SSL サーバー を選択します。

    2. 上部のナビゲーションバーで、SSL サーバーのリージョンを選択します。

      説明

      SSL サーバーは、VPN ゲートウェイと同じリージョンに配置する必要があります。

    3. SSL サーバー ページで、SSLサーバーの作成 をクリックします。

    4. SSLサーバーの作成 パネルで、以下のパラメーターをもとに SSL サーバーを構成し、OK をクリックします。

      本トピックでは、必須パラメーターのみを説明します。その他のパラメーターはデフォルト値を使用します。詳細については、「SSL サーバーの作成および管理」をご参照ください。

      パラメーター

      説明

      VPN Gateway

      作成した VPN ゲートウェイインスタンスを選択します。

      ローカルネットワーク

      アクセス対象の VPC の CIDR ブロックを入力します。例:192.168.0.0/16。

      クライアント CIDR ブロック

      クライアントが VPC にアクセスするために使用する CIDR ブロックを入力します。本例では、10.0.0.0/24 を入力します。

      重要

      • クライアント CIDR ブロックのサブネットマスクは、プレフィックス長が 16~29 ビットの範囲である必要があります。

      • クライアント CIDR ブロックは、ローカル CIDR ブロック、VPC CIDR ブロック、およびクライアントに関連付けられたルート CIDR ブロックと重複してはなりません。

      • クライアント CIDR ブロックには、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはこれらのサブネットを推奨します。パブリック IP アドレス範囲を使用する必要がある場合は、VPC のカスタム CIDR ブロックとして構成して、適切なルーティングを保証する必要があります。詳細については、「VPC よくある質問」をご参照ください。

      • SSL サーバーを作成すると、システムは自動的にクライアント CIDR ブロックのルートを VPC のルートテーブルに追加します。このルートを VPC のルートテーブルに手動で追加しないでください。そうしないと、SSL-VPN 接続が中断される可能性があります。

      Advanced Settings

      二要素認証機能を有効化します。本例では EIAM 2.0 を使用します。その他のパラメーターはデフォルト値を使用します。

      • IDaaS インスタンスのリージョン中国 (杭州) を選択します。

      • IDaaS インスタンス前提条件 セクションで作成した EIAM インスタンスを選択します。

      • IDaaS アプリケーション: Alibaba Cloud SSL-VPN アプリケーションを選択します。

        説明

        UAE (ドバイ) リージョンで SSL サーバーを作成する場合、レイテンシーを低減するため、シンガポールの IDaaS EIAM 2.0 インスタンスと関連付けることを推奨します。

    ステップ 5:SSL クライアント証明書の作成

    1. 左側のナビゲーションウィンドウで、相互接続 > VPN > SSL クライアント を選択します。

    2. SSL クライアント ページで、SSL クライアントの作成 をクリックします。

    3. SSL クライアントの作成 パネルで、SSL クライアント名を入力し、SSL サーバー を選択して、OK をクリックします。

    4. SSL クライアント ページで、作成した SSL クライアントを見つけ、操作 列で、証明書のダウンロード をクリックします。

      ダウンロードした SSL クライアント証明書をローカルデバイスに保存します。後ほどクライアントの構成で使用します。

    ステップ 6:クライアントの構成

    Linux クライアントの構成

    1. コマンドラインターミナルを開きます。

    2. 次のコマンドを実行して OpenVPN クライアントをインストールします。

      CentOS
      yum install -y openvpn
mkdir -p /etc/openvpn/conf
      Ubuntu
      apt-get update
apt-get install -y openvpn
mkdir -p /etc/openvpn/conf

    3. ダウンロードした SSL クライアント証明書パッケージを解凍し、ファイルを /etc/openvpn/conf/ ディレクトリにコピーします。

    4. /etc/openvpn/conf/ ディレクトリに移動し、次のコマンドを実行して、ユーザー名およびパスワードを入力します。クライアントが AD 認証に合格すると、SSL-VPN 接続が確立されます。

      openvpn --config /etc/openvpn/conf/config.ovpn --daemon

      2024-05-11_10-47-04

    Windows クライアントの構成

    1. Windows 向け OpenVPN クライアント をダウンロードしてインストールします。

    2. ダウンロードした SSL クライアント証明書パッケージを解凍し、ファイルを OpenVPN\config ディレクトリにコピーします。

      本例では、証明書を C:\Program Files\OpenVPN\config ディレクトリにコピーします。実際のシステム上のインストールディレクトリに合わせて、証明書をコピーしてください。

    3. OpenVPN クライアントを起動し、接続 をクリックして、ユーザー名およびパスワードを入力します。クライアントが AD 認証に合格すると、SSL-VPN 接続が確立されます。

      2024-05-11_10-56-59

    macOS クライアントの構成 (OpenVPN)

    1. コマンドラインインターフェイスを開きます。

    2. クライアントに Homebrew がインストールされていない場合は、次のコマンドを実行してインストールします。

      /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

    3. 次のコマンドを実行して OpenVPN クライアントをインストールします。

      brew install openvpn

    4. ダウンロードした SSL クライアント証明書を展開し、構成ディレクトリにコピーします。

      1. /usr/local/etc/openvpn ディレクトリ内のすべての構成ファイルをバックアップします。

        重要

        OpenVPN のデフォルトインストールパスは、macOS のバージョンによって異なる場合があります。実際のインストールパスを使用してください。

      2. 次のコマンドを実行して OpenVPN 構成ファイルを削除します。

        rm /usr/local/etc/openvpn/*

      3. 次のコマンドを実行して、ダウンロードした SSL クライアント証明書を構成ディレクトリにコピーします。

        cp cert_location /usr/local/etc/openvpn/

        cert_location は、ダウンロードした SSL クライアント証明書のパスであり、たとえば /Users/example/Downloads/certs6.zip です。

    5. 次のコマンドを実行して証明書を抽出します。

      cd  /usr/local/etc/openvpn/
unzip /usr/local/etc/openvpn/certs6.zip

    6. /usr/local/etc/openvpn/ ディレクトリに移動し、次のコマンドを実行して、ユーザー名およびパスワードを入力して SSL-VPN 接続を確立します。

      sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

    ステップ 7:接続性のテスト

    上記の手順を完了すると、クライアントは VPC 内のリソースにリモートアクセスできるようになります。以下に、Linux クライアントと VPC 間の接続性をテストする手順を示します。

    1. クライアントでコマンドラインインターフェイスを開きます。

    2. ping コマンドを実行して、VPC 内の ECS1 インスタンスにアクセスし、接続性を確認します。

      ping <ECS1 インスタンスの IP アドレス>

      図に示すように、応答パケットを受信できれば、クライアントが VPC 内のリソースにアクセスできることを確認できます。

      2024-05-09_17-05-07

    IDaaS EIAM 1.0 の構成

    IDaaS EIAM 1.0 インスタンスを使用するには、以下の手順に従ってください。SSL サーバーを作成する際に、LDAP 認証の有効化 を行い、EIAM 1.0 インスタンスをバインドする必要があります。その他の手順は上記と同様であり、繰り返しません。

    操作手順

    LDAP 認証の有効化

    SSL-VPN 接続を確立する前に、IDaaS EIAM 1.0 インスタンスで LDAP 認証機能を有効化し、後続の認証のためにアカウントデータを同期する必要があります。

    1. LDAP 認証ソースを追加します。

      1. IDaaS コンソール にログインします。

      2. EIAM ページで、Legacy Version タブをクリックし、対象インスタンスの ID を見つけます。

      3. 左側のナビゲーションウィンドウで、Authentication Source をクリックします。

      4. Authentication Source ページの右上隅で、Add Authentication Source をクリックします。

      5. Add Authentication Source ページで、LDAP アイコン LDAP图标 を見つけ、Actions 列の Add Authentication Source をクリックします。

      6. Add Authentication Source (LDAP) パネルで、LDAP サーバー(本例では AD サーバー)の情報を構成し、Submit をクリックします。

        • ID:システムにより自動生成されます。

        • Name:任意の名前を入力します。

        • LDAP URL:LDAP サーバーへの接続アドレスで、AD システムがデプロイされているサーバーです。形式は ldap://127.0.0.1:389/ です。本例では、ldap://47.XX.XX.62:389/ を入力します。

          ホストの IP アドレスが IPv6 形式の場合、角括弧 ([]) で囲んでください。例:ldap://[0000:0000:0000:0000:0000:0000:0001]:389/

          説明

          IDaaS はパブリックネットワーク経由でのアクセスのみをサポートしています。LDAP サーバーにはパブリック IP アドレスが必要であり、ポート 389 が開放されている必要があります。LDAP サーバーのセキュリティグループルールを構成して、IDaaS のパブリック IP アドレスからのアクセスのみを許可できます。IDaaS のパブリック IP アドレスを取得するには、チケットを送信 してください。

        • LDAP base:LDAP サーバーの Base DN です。本例では、dc=zxtest,dc=com を入力します。

        • LDAP Account:LDAP サーバーの管理者アカウント DN です。本例では、cn=Administrator,cn=Users,dc=zxtest,dc=com を入力します。

        • LDAP account password:LDAP サーバーの管理者アカウントのパスワードです。

        • Filter Condition:ユーザー名を照会するためのフィルター条件です。本例では、(sAMAccountName=$username$) を入力します。

          マッチングルールの詳細については、LDAP Filters の公式 LDAP ドキュメントをご参照ください。$username$ パラメーターは、IDaaS システムのユーザー名を表す固定値です。

      7. Authentication Source ページで、対象の認証ソースを見つけます。status 列で、启用 アイコンをクリックします。表示されるダイアログボックスで、Submit をクリックして LDAP 認証ソースを有効化します。

    2. LDAP アカウントの同期を構成して、LDAP サーバーから IDaaS へアカウントデータをインポートします。

      1. 左側のナビゲーションウィンドウで、OUs and Groups をクリックします。

      2. OUs and Groups ページの右上隅で、Configure LDAP をクリックします。Configure LDAP パネルで、Create をクリックします。

      3. Configure LDAP パネルの Server Connection タブで、以下の情報を構成し、Save をクリックします。

        • AD/LDAP Name:任意の名前を入力します。

        • Server Address:LDAP サーバーのパブリック IP アドレスを入力します。本例では、47.XX.XX.62 を入力します。

        • Port Number:LDAP サーバーのサービスポート番号を入力します。本例では、389 を入力します。

        • Base DN:同期対象のアカウントのノード DN を入力します。本例では、dc=zxtest,dc=com を入力します。

          説明

          この設定は追加後に変更できません。IDaaS と LDAP (または AD) サーバー間のデータ同期中に Base DN を変更すると、両システムの組織ディレクトリが一致しなくなり、同期が失敗する可能性があります。異なるディレクトリからデータを同期する場合は、複数の LDAP 構成を追加することを推奨します。

        • Administrator DN:管理者アカウント DN を入力します。本例では、cn=Administrator,cn=Users,dc=zxtest,dc=com を入力します。

        • Password:管理者アカウントのパスワードを入力します。

        • Select Type:LDAP サーバーのタイプを選択します。本例では、Windows AD を選択します。

        • Owned OU node:アカウントデータをインポートする IDaaS 組織内のノードです。ノードを選択しない場合、データはルート OU にインポートされます。本例では、デフォルト値を使用します。

        • From LDAP to IDaaS:有効化すると、LDAP サーバーから IDaaS へデータを手動で同期できます。本例では、Enable を選択します。

        • Provision from IDaaS to LDAP:有効化すると、IDaaS から LDAP サーバーへデータを同期できます。本例では、Enable を選択します。

        上記の構成を完了したら、Test Connection をクリックして接続をテストできます。テストが失敗した場合は、ネットワーク接続および接続パラメーターが正しいかを確認してください。

      4. Configure LDAP パネルの Field Matching Rules タブで、以下の情報を構成し、Save をクリックします。

        フィールドマッチングルールは、IDaaS のフィールドを LDAP サーバーの属性にマップします。たとえば、LDAP サーバーの cn 属性を IDaaS のユーザー名フィールドにマップできます。

        • UserName:本例では、cn を入力します。

          説明

          AD システム内のアカウントの cn フィールドの値が中国語の場合、そのアカウントは IDaaS に取り込めません。sAMAccountName フィールドを使用することを推奨します。

        • External ID:Windows AD の場合、objectGUID を使用します。OpenLDAP の場合、uid を使用します。本例では、objectGUID を入力します。

        • Password Attribute:Windows AD の場合、unicodePwd を使用します。OpenLDAP の場合、userPassword を使用します。本例では、unicodePwd を入力します。

        • User Unique Identifier:Windows AD の場合、DistinguishedName を使用します。OpenLDAP の場合、EntryDN を使用します。本例では、DistinguishedName を入力します。

        • Email:本例では、mail を入力します。

      5. OUs and Groups ページで、Import > OU を選択します。

      6. LDAP List パネルで、対象の LDAP を見つけ、Import をクリックし、表示されるダイアログボックスで Submit をクリックします。OU Temporary Data パネルで、組織情報を確認して Submit をクリックします。

      7. 現在のページで、OUs エリアで、対象の組織を選択します。組織の詳細エリアで、Import > Account を選択します。

      8. [LDAP List] パネルで、対象の LDAP を見つけ、[Import] をクリックし、表示されるダイアログボックスで [Submit] をクリックします。[Account Temporary Data][LDAP リスト] パネルでアカウント情報を確認し、[Submit] をクリックしてから、インポートされたアカウントのデフォルトパスワードを設定し、LDAP サーバーから IDaaS システムへのアカウント情報の同期を完了します。

        重要

        以降のログインでは、クライアントは AD サーバーのパスワードを使用する必要があります。ここで設定したパスワードは、IDaaS アカウントの初期パスワードです。

    3. クラウド製品の LDAP 認証を有効化します。

      1. 左側のナビゲーションウィンドウで、Settings > Security Settings を選択します。

      2. Security Settings ページで、AD Authentication for Cloud Service タブをクリックします。

      3. 先ほど作成した LDAP 認証ソースを選択し、機能を有効化して、Save をクリックします。

        认证源