Horizon Cloud on Azure と MFAサーバー の連携を試す!!

Horizon Cloud on Azure には、二要素認証としてRADISUサーバーとの連携機能が実装されています。 ※詳細:Horizon Cloud on Azure で 二要素認証を試す!!

私が以前検証した、FreeRADIUS だと[ID/Pass]による認証なので、RADIUSとActive Directoryに[ID/Pass]を二回打ち込む、単なる二段階認証となり、どこか物足りない気がしてなりませんでした。

やはり、Horizon Cloud on Azure でも “多要素認証認証” をやってみたい!!
そこで、今回は、Azureサービスのひとつ”MFAサーバー”と連携することで多要素認証が実装できないか試してみたいと思います。

※MFAサーバーをご存知無い方は、下記をご覧ください。
RADIUS / LDAP を多要素認証にする MFAサーバーとは?

MFAサーバーは、2019年7月1日以降の新規提供が終了となりました。

最初から学びたい方はこちら!!
VMware Horizon Cloud on Microsoft Azure とは?
Horizon Cloud on Azure を構築する! 1/3
Horizon Cloud on Azure を構築する! 2/3
Horizon Cloud on Azure を構築する! 3/3
Horizon Cloud on Azure に接続してみる!!

今回は、多要素認証の追加作業のみを記載致します。


それではやってみよう!!

※事前に「RADIUS / LDAP を多要素認証にする MFAサーバーとは?」のStep3まで実施

※2要素認証の設定は、後から変更ができません。

2要素認証を有効にしますか?:はい
2要素認証方式:新規のRADIUSを追加
名前:識別名
表示名:※表示箇所不明
表示に関するヒント:ユーザー認証時の画面に表示される
名前IDのサフィックス:ユーザー名に付加したいサフィックスを指定
反復回数:入力失敗回数
ユーザー名を維持:MFA認証後のAD認証時にユーザー名を引き継ぐ

ホスト名/IPアドレス:MFAサーバーのIPを指定
共有シークレット:MFAサーバーに設定したシークレットキーを入力
認証ポート:ポート番号
アカウントポート:アカウンティング情報(時間、パケット)用ポート番号
メカニズム:認証方式[PAP / CHAP / MSCHAPv1 / MSCHAPv2]
※MFAサーバーがサポートしているのは、[PAP / MSCHAPv2]
サーバタイムアウト:MFAサーバーからの応答待機時間
※MFAサーバーでの多要素認証実行のため、時間は長めに設定すること
最大再試行回数:RADIUSクライアント~RADIUSサーバー間での試行回数
レルムのプレフィックス:tushigami.com\user
レルムのサフィックス:user@tushigami.com

セカンダリサーバ:2台目のRADIUSサーバー情報

あとは、通常の手順通りに進めていきます。

※「RADIUS / LDAP を多要素認証にする MFAサーバーとは?」のStep4

MFAサーバーのRADIUS設定 ※UAGのDMZ側のIPアドレスを指定


それでは、接続してみましょう!

【ブラウザ 編】

ユーザーのブラウザから、UAG のFQDN宛に接続します。

先ずは、MFAサーバーによる多要素認証が実行されます。
※MFAサーバーに登録したユーザーアカウントを入力

認証方法が、テキストメッセージの場合

続いて、Active Directory による認証が実行されます。

ログインすると、作成した”デスクトップ”と”アプリケーション”が確認できます。

【Horizon Client 編】

Horizon Client をインストール後、UAG のFQDN宛に接続します。

先ずは、MFAサーバーによる多要素認証が実行されます。
※MFAサーバーに登録したユーザーアカウントを入力

認証方法が、テキストメッセージの場合

続いて、Active Directory による認証が実行されます。

ログインすると、作成した”デスクトップ”と”アプリケーション”が確認できます。