皆さま

こんにちは。

Cisco Duoの紹介ブログも3回目となりました。

前回までで機能の紹介が終わりましたので、今回はDuoの導入方法やネットワーク構成についてのお話です。

第1回、第2回のブログをご覧になっていない方は、先に読んでいただくことをお勧めします。

Cisco Duo紹介：第1回 Duo概要とMFA

Cisco Duo紹介：第2回 デバイス可視化/適応型アクセスポリシー/シングルサインオン

Duoの導入方法には6つの導入パターンがあります。

1.Duo Build-in (サードパーティアプリケーション)
2.プラグイン/パッケージのインストール
3.Duo Authentication Proxy
4.Duo Access Gateway (DAG)
5.Duo Network Gateway (DNG)
6.カスタム WebSDK/API

それでは早速ご紹介します。

1.Duo Build-in (サードパーティアプリケーション)

こちらはクラウドアプリケーション側にDuoが組み込まれており、アクティベーションのみでDuoを有効化できる構成です。
アプリケーション側が対応している必要がありますが、Microsoft Azure/okta/LastPass等のアプリケーションで利用可能です。
この方式では導入時の作業はほぼ必要ありません。

2.プラグイン/パッケージのインストール

Duoのプラグインをアプリケーション側にインストールすることで実現する構成となります。
Outlook Web App(OWA)やMicrosoftのActive Directory Federation Service(ADFS)等のアプリケーションが対応しています。
1.と同様にオンプレミス上に装置を導入するといった作業が発生しません。

3.Duo Authentication Proxy

認証情報のプロキシサーバとして、オンプレミス上にDuo Authentication Proxyを構築する構成となります。
RADIUSまたはLDAPをサポートするアプリケーションにて利用可能な方式となります。
アプリケーションからRADIUS/LDAPへの認証情報をDuo Authentication ProxyでプロキシすることでDuoの機能を提供し、MFAでの認証も可能にします。

4.Duo Access Gateway (DAG)

SAML IdPとしてオンプレミス上にDuo Access Gatewayを構築する方法となります。
SAMLをサポートするアプリケーションにて利用可能な方式となります。
Duo Access GatewayのIDソースとしては、Active Directory、OpenLDAP、オンプレミスまたはクラウドのSAML IdPを指定できます。

前回のブログのSSO機能ではこの構成をお話しませんでしたが、Duo Access Gatewayを利用してのSSOの提供も可能となります。

5.Duo Network Gateway (DNG)

オンプレミス上にある社内等の内部アプリケーションに対してDuoを提供する場合にはDuo Network Gatewayの構成を利用します。
Duo Network GatewayはDockerを使用して、Linux OS上にデプロイします。
この構成ではVPNを使用することなく社内のアプリケーションへのアクセスが可能です。
プライマリ認証にはSAML IdPを利用します。
クライアントはDuo Network GatewayにHTTP/HTTPS/SSHのいずれかで接続し、Duo Network Gatewayよりリバースプロキシにて社内のアプリケーションへ接続します。

6.カスタム WebSDK/API

最後の構成はWebSDKやAPIを利用した連携です。
先述した構成が取れないアプリケーションや、より柔軟な構成をとりたいといった場合に利用します。
Duoをアプリケーション側にコーディングしますので、アプリケーションのソースコードへのアクセスが必要となります。

以上がDuoの導入パターンとなります。
多数の導入パターンがあり、導入対象のアプリケーションや環境に応じて選択が必要となっております。

次回はAnyconnectにMFAを導入する検証についてお話する予定です。

それでは次回もお楽しみに。