クイックツアー / タグを使用した認証


タグを使用した認証とは
タグの判定順について
タグを使用した設定の例
タグを使用した設定の流れ
ネットワークを登録する
タグの登録
デバイスの登録


ここでは、AMF Securityに登録されたデバイス ID(デバイス)に設定されているタグを使用した認証の設定方法を説明します。

タグを使用した認証とは

AMF Securityによる認証は、デバイス、未認証グループに設定されたセキュリティーポリシー(ポリシー)以外に、タグに設定されたポリシーで行うことができます。
通常は以下のようにAMF Securityのデバイスに端末(MACアドレス)を登録し、ポリシーを紐付けます。
表 1:デバイス ID(デバイス)の登録例
デバイス ID(1つ目)
デバイス ID ユーザー1
インターフェース(MAC アドレス) 00:00:00:00:00:01
00:00:00:00:00:02
ポリシー VLAN100
デバイス ID(2つ目)
デバイス ID ユーザー2
インターフェース(MAC アドレス) 00:00:00:00:00:03
00:00:00:00:00:04
00:00:00:00:00:05
ポリシー VLAN100
上記では「ユーザー1」が2台の端末、「ユーザー2」は3台の端末を所有しており、それぞれの端末はVLAN100に接続されます。
上記のようにユーザーが所有する端末を登録する方法で接続するネットワークを管理する場合、接続するネットワークを変更する場合は、各ユーザーの設定(ポリシー)を変更する必要があります。
このようなケースではタグを使用することで一括で変更することができます。
表 2:デバイス ID(デバイス)の登録例
デバイス ID(1つ目)
デバイス ID ユーザー1
インターフェース(MAC アドレス) 00:00:00:00:00:01
00:00:00:00:00:02
ポリシー なし
デバイス ID(2つ目)
デバイス ID ユーザー2
インターフェース(MAC アドレス) 00:00:00:00:00:03
00:00:00:00:00:04
00:00:00:00:00:05
ポリシー なし
表 3:タグの登録例
タグ
タグ グループA
ポリシー VLAN100
上記ではデバイスにポリシーを設定するのではなく、デバイスにはタグを設定し、別途作成したタグにポリシーを設定しています。
この場合、基本的な動作は同じですが、別途作成したタグのポリシーを変更することでユーザーが接続するネットワークを一括で変更することができます。
タグに設定するポリシーにはロケーション、スケジュールを設定することができるため、例えば場所(ロケーション)によって接続するネットワークが変更になる場合などでは、ポリシーのロケーションを設定することで実現できます。
Note
TQのAMFアプリケーションプロキシー機能では、ロケーションとスケジュールの項目は未サポートです。

タグの判定順について

タグに割り当てられているポリシーは優先度の値が小さい順に判定を行います。
複数のタグが登録されている場合は、各タグに割り当てられているポリシーの優先度の順で判定を行います。そのため各ポリシーには、異なる優先度を設定してください。
ポリシーなしのタグは、1つのみのタグ登録、複数のタグ登録を問わず判定の対象になりませんのでご注意ください。また、ネットワーク、ロケーション、スケジュールが不要の場合は優先度のみのポリシーを設定してください。

タグを使用した設定の例

ここでは、クイックツアー「タグを使用した認証」/「タグを使用した認証とは」に記載のケースを例に設定を行います。
AMF Securityに登録する端末の情報は以下を想定します。
AMF Securityに登録する認証データ(ネットワーク、デバイス、タグ)の概要は以下です。
この設定によりデバイス「user_1」と「user_2」に登録されている5台の端末が接続するネットワークは、タグのポリシーの変更によって一括で変更されます。
例えば、5台の端末が接続するネットワークをVLAN100からVLAN101に変更する場合には、タグのポリシーでネットワークをVLAN101に変更するだけで可能です。
表 4:デバイス ID(デバイス)の設定データ
デバイス ID(1つ目)
デバイス ID user_1
タグ group_A
インターフェース
 MAC アドレス 00:00:00:00:00:01
 名称 PC-1
インターフェース
 MAC アドレス 00:00:00:00:00:02
 名称 PC-2
ポリシー なし
デバイス ID(2つ目)
デバイス ID user_2
タグ group_A
インターフェース
 MAC アドレス 00:00:00:00:00:03
 名称 PC-3
インターフェース
 MAC アドレス 00:00:00:00:00:04
 名称 PC-4
インターフェース
 MAC アドレス 00:00:00:00:00:05
 名称 PC-5
ポリシー なし
表 5:タグの設定データ
タグ
タグ group_A
ポリシー VLAN100

タグを使用した設定の流れ

設定の流れを次に示します。
  1. 「ポリシー設定」/「ネットワーク一覧」画面でネットワークを登録する
  2. 「グループ」/「タグ一覧」画面でタグを登録する
  3. 「デバイス」/「デバイス追加」画面でデバイスを登録する

ネットワークを登録する

接続先のネットワークを登録します。ネットワークは、「ポリシー設定」/「ネットワーク一覧」画面で登録することができます。
  1. 「ポリシー設定」/「ネットワーク一覧」画面に移動します。

  2. 「ポリシー設定」/「ネットワーク一覧」画面の右上の「ネットワーク追加」ボタンをクリックし、「ポリシー設定」/「ネットワーク追加」画面に移動します。

  3. 登録するネットワークの情報を入力します。

    ここでは、次の情報を入力します。
    表 6:設定データ
    項目名 設定する情報
    ネットワーク ID VLAN100
    VLAN ID 100
    備考 なし(空欄)
  4. 「登録」ボタンをクリックします。
    ネットワークが登録されると、追加した情報が「ポリシー設定」/「ネットワーク一覧」画面に表示されます。

タグの登録

設定したポリシーに基づき、タグを登録します。タグは、「グループ」/「タグ一覧」画面で登録することができます。
  1. 「グループ」/「タグ一覧」画面に移動します。

  2. 画面右上の「タグ追加」ボタンをクリックし、「グループ」/「タグ追加」画面に移動します。

  3. 登録するタグの情報を入力します。

    ここでは、次の情報を入力します。
    表 7:設定データ
    項目名 設定する情報
    タグ group_A
    備考 なし(空欄)
  4. ポリシーの「追加」ボタンをクリックして、「グループ」/「ポリシー編集」ダイアログを表示します。

  5. 登録するポリシーの情報を入力します。

    ここでは、次の情報を入力します。
    表 8:設定データ
    項目名 設定する情報
    優先度 10
    ネットワーク VLAN100
    ロケーション なし(空欄)
    スケジュール なし(空欄)
  6. 「登録」ボタンをクリックして、「グループ」/「タグ追加」画面に戻ります。

  7. 「登録」ボタンをクリックします。
    タグが登録されると、追加した情報が「グループ」/「タグ一覧」画面に表示されます。

デバイスの登録

AMF Securityにデバイス ID(デバイス)を登録します。デバイスは、「デバイス」/「デバイス追加」画面で登録することができます。
  1. 「デバイス」/「デバイス一覧」画面に移動します。

  2. 「デバイス」/「デバイス一覧」画面の右上の「デバイス追加」ボタンをクリックし、「デバイス」/「デバイス追加」画面に移動します。
    この画面では、新規デバイスのデバイスID、タグを登録します。

  3. 登録するデバイスの情報を入力します。

    ここでは、次の情報を入力します。
    表 9:設定データ
    項目名 設定する情報
    デバイス ID user_1
    タグ group_A
    備考 なし(空欄)
  4. デバイスが持つインターフェースのMACアドレスを登録します。AMF Securityは、登録されていないMACアドレスからのネットワーク接続をすべて拒否します。
    「インターフェース」欄の「追加」ボタンをクリックして、「デバイス」/「インターフェース編集」ダイアログを表示します。

  5. 「ユーザー1(user_1)」の1台目の端末のMACアドレスと名称を登録します。

    ここでは、次の情報を入力します。
    表 10:設定データ
    項目名 設定する情報
    MAC アドレス 00:00:00:00:00:01
    名称 PC-1
    備考 なし(空欄)
  6. 「登録」ボタンをクリックします。
    「デバイス」/「デバイス追加」画面の「インターフェース」一覧に、設定したインターフェースのMACアドレスが表示されます。

  7. 手順4~手順6と同じ手順で、もう1台の端末のMACアドレスと名称を登録します。

    ここでは、次の情報を入力します。
    表 11:設定データ
    項目名 設定する情報
    MAC アドレス 00:00:00:00:00:02
    名称 PC-2
    備考 なし(空欄)
  8. 本デバイス「user_1」にはポリシーを設定しないため、このまま「登録」ボタンをクリックします。

    デバイスが登録されると、新規に追加した情報が「デバイス」/「デバイス一覧」画面に表示されます。

  9. 手順2~手順8と同じ手順で、「user_2」の「デバイス ID」も登録します。
    なお「user_2」の「デバイス ID」に登録するタグは、「user_1」と共通の「group_A」を登録します。
    表 12:設定データ
    デバイス
    項目名 設定する情報
    デバイス ID user_2
    タグ group_A ※ 「user_1」と共通
    備考 なし(空欄)
    インターフェース
    項目名 設定する情報
    MAC アドレス 00:00:00:00:00:03
    名称 PC-3
    備考 なし(空欄)
    インターフェース
    項目名 設定する情報
    MAC アドレス 00:00:00:00:00:04
    名称 PC-4
    備考 なし(空欄)
    インターフェース
    項目名 設定する情報
    MAC アドレス 00:00:00:00:00:05
    名称 PC-5
    備考 なし(空欄)
設定は以上です。