Oktaのユーザー非アクティブ化によりMerakiネットワークへの接続を即時遮断する

昨今、サイバー攻撃の増加やコンプライアンス遵守の必要性から、ネットワークセキュリティ強化が求められています。特に、クライアント証明書のステータス変更やユーザーのアクセス権限の更新が即座にネットワークインフラに反映されないことから、不正アクセスや不適切なデバイス接続が長時間許容されるリスクが問題視されています。

これに対してOkta × SecureW2 × Cisco Meraki連携ソリューションを導入することで、Okta上のユーザー非アクティブ化をトリガーに、証明書失効およびネットワーク接続遮断をリアルタイムで実現します。これによりセキュリティの強化と運用効率の向上を実現できます。

Okta × SecureW2 × Cisco Meraki連携ソリューションの紹介

1. 管理者がOkta上の対象ユーザーを非アクティブ化
2. 「Continuous Monitoring Integration」 が動作し、証明書の失効を指示
3. 対象ユーザーに紐づいている証明書が失効
4. 証明書失効をトリガーとして「Real-Time Intelligence（RTI）」が動作し、Cisco Merakiのアクセスポリシー要件が変更
5. デバイスからのネットワーク接続が遮断

Okta × SecureW2 × Cisco Meraki連携ソリューションは、Okta上のユーザー非アクティブ化をトリガーとして、そのユーザーに紐づいた証明書の失効およびネットワーク接続の遮断をリアルタイムで実現します。そのため管理者が証明書失効やAP設定をする必要なく、Oktaからユーザーステータスを変更するだけでそのデバイスからのネットワークアクセスを制御することができます。また一連の動作はSecureW2の機能である「Continuous Monitoring Integration」、「Real-Time Intelligence（RTI）」を使用することで実現しています。

前提条件

• SecureW2の管理者アカウントを保有していること
• SecureW2のUltimateライセンスを契約していること
• Okta × SecureW2 連携（Continuous Monitoring Integrationの設定） が完了していること※
• SecureW2発行のクライアント証明書の配布・登録が完了していること
• Cisco Merakiの管理者アカウントを保有していること

※Okta × SecureW2 連携（Continuous Monitoring Integrationの設定）についてはこちらをご覧ください。

Real-Time Intelligence (RTI)の動作概要

Real-Time Intelligence (RTI）とはSecureW2の機能の1つであり、証明書の失効をトリガーにネットワークからの即時遮断を行う機能です。この機能を設定すると、証明書が失効されてから約1~2分程度でデバイスとネットワークの接続が遮断されます。

具体的な仕組みについてご説明します。

1. SecureW2の証明書を失効したことをトリガーに、失効された証明書がSecureW2のクラウドRADIUSで認証に使用されていたかをログから検出します。
2. 認証成功していたデバイスを確認でき次第、RADIUSメッセージから抽出したMACアドレスを識別し、Cisco Merakiなどのコントローラーに対して当該MACアドレスのアクセスをブロックするようAPIやコンソールアクセスを管理者に代わって実施します。
3. デバイスのネットワーク接続を遮断します。

MACアドレスがブロックされるため、原則そのデバイスはネットワークに参加できなくなります。また、例えば無線LAN接続を有線LAN接続に切り替えたり、MACアドレスを偽装して再接続を試みても、既にクライアント証明書が失効されているため、再認証時には802.1X認証によりアクセス拒否され、ネットワークへの接続は認められません。

作業詳細

主な作業内容は、Cisco MerakiとSecureW2でそれぞれ次の通りです。

上図のように、API Keyを生成し、Cisco Merakiの情報をSecureW2で設定するだけで簡単にReal-Time Intelligenceをご利用いただけます。

具体的な作業手順

SecureW2とCisco Merakiの設定

1. JoinNow Management Portal にログインし、External Connections > Configuration をクリックします。

   

2. [ Add External Connection ] をクリックします。

   

3. 以下のように入力したら、[ Save ] をクリックします。

   項目名	設定値	項目の説明
   Name	例: 検証デモ	例: Merakiのネットワーク名
   Type	【 Cisco Meraki 】（選択）	ネットワーク機器名

   

4. Configurationタブに移動し、Cisco Merakiから必要な情報を取得しSecureW2に入力していきます。

   

5. Merakiにログインし、SecureW2の以下の項目に入力します。

   項目名	設定値	項目の説明
   Controller URL	例: https://my.meraki.com/	MerakiのURL①
   Meraki Network Name	例: 検証デモ	Merakiのネットワーク名②

   

6. Merakiの左タブにて、Organization > Settings をクリックします。

   

7. オーガナイゼーションの名前を、SecureW2の以下の項目に入力します。

   項目名	設定値	項目の説明
   Meraki Organization Name	例: Pentio Dev	Merakiのオーガナイゼーションの名前③

   

   

8. Organization > API & Webhooks をクリックします。

   

9. API Keys and access タブに移動し、Generate API key をクリックします。

   

10. API キーが表示されるので、SecureW2へコピー&ペーストします。保存したら [ Done ] をクリックします。

    

    

11. [ Validate ] をクリックして、テスト接続を行います。「Connection verified successfully」と表示されたら、[ Update ] をクリックします。

    

設定方法は以上となります。

動作確認

Okta × SecureW2 × Cisco Meraki連携ソリューションの動作を一貫して確認します。具体的には以下の項目を確認します。

• クライアント証明書を用いて無線LANへ接続する
• ユーザー非アクティブ化後、クライアント証明書が失効される
• 同時に、そのデバイスのネットワーク接続が遮断される

こちらの動画をご覧ください。

1. ユーザー「taro yamada (taro.yamada@pentio.com)」は現在アクティブなステータスになっています。

   

2. クライアント証明書を用いて無線LANへ接続します。

   

   

3. このユーザーを非アクティブ化します。

   

4. ユーザー非アクティブ化がトリガーとなり、配布されていた証明書が即時失効されます。

   

5. 証明書が失効してから約1分後、デバイスのネットワーク接続が遮断されました。

   

おわりに

今回は、Okta上のユーザー非アクティブ化をトリガーに、クライアント証明書失効およびネットワーク接続の遮断について検証しました。今回の検証にて使用したReal-Time Intelligence（RTI）とはSecureW2の機能の1つであり、ユーザーステータスに応じてCisco Merakiのアクセスポリシー要件変更を自動で行います。Okta × SecureW2 × Cisco Meraki連携ソリューションのメリットとして以下のようなものがあります。

• Oktaの状態に応じたアクセスコントロール：RADIUS認証のIDソースとしてOktaを利用することで、IDaaSによる統合された認証・認可をネットワークアクセス制御に提供します。
• リアルタイムなクライアント証明書失効、アクセスコントロール：本記事で紹介したContinuous Monitoring Integration、Real-Time Intelligenceはユーザーの非アクティブ化を実行後、約1-2分で動作します。

そのため社員の退社/異動に伴う工数の削減など管理者の負担が軽減されるだけでなく、リアルタイムなアクセスコントロールなどIDaaSを中心としたネットワーク運用を可能にします。 ぜひOkta × SecureW2 × Cisco Meraki連携ソリューションの導入を検討してみてはいかがでしょうか。以上で「Oktaのユーザー非アクティブ化によりMerakiネットワークへの接続を即時遮断する 〜IDaaSによるネットワーク認証認可連携 Part 2〜」を終わります。

SecureW2セミナーはこちらから