Juniper Secure Connectでの認証
Juniper Secure Connectのさまざまなユーザー認証方法について詳しくは、このトピックをお読みください。
ユーザーは、ローカルまたは外部の認証により、Juniper Secure Connectとのセキュアな接続を確立できます。どちらの方法にも、次の特定の制限があります。
-
ローカル認証:ローカル認証では、SRXシリーズファイアウォールは、ローカルデータベースでユーザーの認証情報をチェックして検証します。この方法では、管理者はパスワードを変更またはリセットできます。ユーザーは新しいパスワードを覚えておく必要があります。これは安全でないため、推奨される認証方法ではありません。
-
外部認証:この方法では、ユーザは、ネットワーク上の他のリソースへのアクセスに使用するのと同じクレデンシャルで認証できます。多くの場合、ユーザー資格情報は、Active Directory またはその他のライトウェイト ディレクトリ アクセス プロトコル (LDAP) 認証システムに使用されるドメイン ログイン資格情報と同じです。この方法では、組織で使用される通常のセキュリティ ポリシーを使用して承認システムを維持できるため、ユーザー エクスペリエンスが簡素化され、組織のセキュリティ体制が向上します。
-
多要素認証 — 保護をさらに強化するために、多要素認証 (MFA) を有効にすることもできます。この方法では、RADIUSプロキシを使用して、ユーザーのスマートフォンなどのデバイスに通知メッセージを送信します。接続を完了するには、ユーザーは通知メッセージを受け入れる必要があります。 ナレッジベースの記事 73468 を参照してください。
-
Juniper Secure Connectを使用したLDAP認証—Junos OS リリース23.1R1より、グループベースの制御されたLDAP認証が導入されました。LDAP を使用して、1 つ以上の LDAP グループを定義できます。
[edit access ldap-options]階層レベルでallowed-groupsステートメントを使用して、LDAP が認証するグループのリストを指定します。ユーザーは複数の LDAP グループに属することができます。グループをアドレスプールにマッピングできます。LDAPグループメンバーシップに基づいて、システムはユーザーにIPアドレスを割り当てます。 -
SAML ベースの認証 - SAML は、ID プロバイダーの(IdP)とサービス プロバイダーの 2 つの当事者がリモート ユーザーに関する ID 情報を交換する XML ベースのフレームワークです。SAMLはシングルサインオン(SSO)を可能にし、ユーザーは一度ログインすれば、毎回認証情報を再入力することなく、複数のアプリケーションにシームレスにアクセスできます。
-
表1 は、Juniper Secure Connectにおけるさまざまな認証方法を比較したものです。
| 認証方法 | クレデンシャル(ユーザー名とパスワード) | エンドユーザー証明書 | ローカル認証 | 外部認証Radius | 外部認証LDAP | 外部認証IdP |
|---|---|---|---|---|---|---|
| IKEv1 - 事前共有鍵 | はい | いいえ | はい | はい | はい | いいえ |
| IKEv2-EAP-MSCHAPv2 | はい | いいえ | いいえ | はい | いいえ | いいえ |
| IKEv2-EAP-TLS | いいえ | はい | いいえ | はい |
いいえ |
いいえ |
| SAML ベースの認証 (独自の IKEv2-EAP 実装) | ユーザー名のみ | いいえ | いいえ | いいえ | いいえ | はい |
認証方法に関係なく、EAP-TLS 認証を実装する場合でも、RADIUS サーバーを使用した外部ユーザー認証用のユーザー名とパスワードを引き続き使用して初期設定をダウンロードすることができます。
Juniper Secure Connectのユーザー認証を設定するには、以下のトピックを参照してください。