本記事は、OneLogin DesktopにおけるID/パスワード認証のバイパス機能、またはDevice Trust(1st Partyまたは3rd Party)を介したクライアント証明書認証をご利用のNetskopeユーザーを対象としています。
本記事では、SWGおよびCASB機能を提供するNetskope導入環境下において、OneLogin のDevice TrustおよびOneLogin Desktopを含むクライアント証明書認証が失敗する原因と、証明書認証を利用できるようにするNetskope側の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスプラン が SSO, Advanced, Professional または旧ライセンスプラン Starter, Enterprise, Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Netskopeの管理者権限を所有していること
- Netskopeのネットワーク接続構成が Forward Proxy であること
なぜ証明書認証が失敗する?
Netskope導入時の初期設定では、OneLogin DesktopおよびDevice Trustを使用している場合でも、ブラウザ上にクライアント証明書の選択画面が表示されず、以下のいずれかの画面が表示されることがあります。
- OneLogin Desktop向けのクライアント証明書によりID/パスワード認証を回避するポリシーが適用されている場合、ID/パスワード認証は回避されず標準のログイン画面が表示されます
- Device Trust(クライアント証明書認証)が必須のポリシーが適用されている場合、アクセスが拒否されました と表示されます
*Device Trustによるアクセス拒否が発生した場合、Activity > Events に移動し、Event Typeが failed authentication のログを選択すると、以下のような詳細が確認できます。
Notes
• Authentication method: Device Trust.
• Reason: The user did not provide a certificate for authentication.
これは不具合ではなく、設定を変更することで解決する既知の事象です。Netskopeの初期設定では、全ての通信に対してSSLインスペクションを実行されるため、クライアント証明書認証に必要な暗号化通信が妨げられる ことにより発生します。
本記事では、NetskopeにおいてOneLoginのクライアント証明書認証を行うエンドポイントのみをSSLインスペクションによる復号対象から除外し、クライアント証明書認証を正常に利用しながらその他のOneLoginに関する操作内容は検閲を可能とする設定をご案内いたします。
また、具体的なSSLインスペクション回避の方法を2つご紹介いたしますが、パターン1 またはパターン2 のどちらか一方の設定を追加することで、ブラウザから証明書の要求画面を表示させることができます。両方ともご設定いただかないようご注意ください。また、どちらの設定が推奨されるのか、貴社のNetskope設計に基づきどちらがより適切なのかはOneLogin及びペンティオでは分かりかねますため、必要に応じてNetskopeをご契約のベンダー様にどちらの方法が良いかをご相談ください。
NetskopeとOneLoginの証明書認証を併用するには?
Netskope側でポリシーまたは例外処理のいずれかを追加することで、併用が可能です。
1. ポリシーの追加
- 管理者権限をもつアカウントでNetskope にログインし、Policies を選択します
-
SSL Decryption を選択します
- [ADD POLICY]をクリックします
-
Domains を選択します
-
Match Criteria に以下のドメインを入力します
クライアント証明書認証を利用している場合 OneLogin Desktopを利用している場合 クライアント証明書認証とOneLogin Desktopの両方を利用している場合 *.login.us.onelogin.com
pki-us.onelogin.com
*.login.us.onelogin.com
desktop-us.onelogin.com
*.login.us.onelogin.com
pki-us.onelogin.com
desktop-us.onelogin.com
-
Action にて、Do Not Decrypt を選択します
-
Set Policy にポリシーの名称を入力します
-
Status を Enabled にします
- [Save]をクリックします
- [APPLY CHANGES]をクリックします
- 変更履歴を入力し、[APPLY]をクリックします(変更履歴の入力は任意)
- ポリシーが反映されたことを確認します
2. 例外処理の追加
- 管理者権限をもつアカウントでNetskopeにログインし、Settings を選択します
-
Security Cloud Platform を選択します
-
Steering Configuration を選択します
- 編集を行うグループを選択します
-
EXCEPTIONS を選択します
-
ADD EXCEPTIONS から、Domains を選択します
-
Domains に以下のドメインを入力します
クライアント証明書認証を利用している場合 OneLogin Desktopを利用している場合 クライアント証明書認証とOneLogin Desktopの両方を利用している場合 *.login.us.onelogin.com
pki-us.onelogin.com
*.login.us.onelogin.com
desktop-us.onelogin.com
*.login.us.onelogin.com
pki-us.onelogin.com
desktop-us.onelogin.com
- NOTES にコメントを入力します(任意)
- [ADD]をクリックします
- 設定が保存されていることを確認します
動作確認
1. クライアント証明書認証をご利用の場合
- OneLogin にアクセスし、クライアント証明書を選択して[OK]をクリックします
- クライアント証明書を用いて、ログインできることを確認します
2. OneLogin Desktopとクライアント証明書認証を併用の場合
- OneLogin にアクセスし、OneLogin Desktop 証明書を選択して[OK]をクリックします
- OneLogin Device Trust 証明書を選択し、[OK]をクリックします
- クライアント証明書を用いて、ログインできることを確認します
設定の切り戻し
1. ポリシーの削除
- 管理者権限をもつアカウントでNetskope にログインし、Policies を選択します
-
SSL Decryption を選択します
- 消去したいポリシーを選択します
- [Delete]をクリックします
- 再度[Delete]をクリックします
- [APPLY CHANGES]をクリックします
- 変更履歴を入力し、[APPLY]をクリックします(変更履歴の入力は任意)
- ポリシーが消去されたことを確認します
2. 例外処理の削除
- 管理者権限をもつアカウントでNetskopeにログインし、Settings を選択します
-
Security Cloud Platform を選択します
-
Steering Configuration を選択します
- 編集を行うグループを選択します
-
EXCEPTIONS を選択します
- 消去したい項目を選択します
- [Delete]をクリックします
-
Successfully deleted selected exceptions. と表示されたことを確認します