2要素認証を有効にすると、クライアントがSSL-VPN接続を確立するときに、システムは2つの要素に基づいてクライアントを検証します。 SSLクライアント証明書認証に加えて、クライアントはIdentity as a Service (IDaaS) のユーザー名とパスワード認証も渡す必要があります。 SSL-VPN接続は、2要素認証に合格した後にのみ確立されます。 これにより、SSL-VPN接続のセキュリティが効果的に向上します。 このトピックでは、クライアントが2要素認証に合格した後に、クライアントがVirtual Private Cloud (VPC) 内のリソースにアクセスするためのSSL-VPN接続を確立する方法について説明します。
シナリオ
上の図は、このトピックで使用した例のシナリオを示しています。 企業はIDaaSを使用して従業員のアカウントと権限を管理および維持します。 同社は中国 (杭州) リージョンにVPCを作成しました。 アプリケーションは、VPCのElastic Compute Service (ECS) インスタンスにデプロイされます。 ビジネス要件を満たすために、出張中の従業員がIDaaS認証に合格した後にVPCにデプロイされたリソースにリモートアクセスできるようにしたいと考えています。
この場合、会社はVPNゲートウェイを作成し、SSL-VPNおよび2要素認証機能を有効にできます。 クライアントがSSLクライアント証明書認証とIDaaSのユーザー名とパスワード認証に合格した後、クライアントはSSL-VPN接続を確立してVPC内のリソースに安全にアクセスできます。
準備
Enterprise EditionのIDaaS Employee Identity and Access Management (EIAM) インスタンスが作成されます。 詳細は、「インスタンスの管理」をご参照ください。
重要IDaaS EIAM 1.0インスタンスを購入できなくなりました。 IDaaS EIAM 2.0インスタンスの使用を推奨します。 この例では、IDaaS EIAM 2.0インスタンスが使用されています。 詳細については、「 [変更通知] 2要素認証用のIDaaS EIAM 2.0インスタンスのSSL-VPNサポート」をご参照ください。
IDaaS EIAM 1.0インスタンスの使用方法の詳細については、このトピックの「IDaaS EIAM 1.0インスタンスの構成」をご参照ください。
IDaaS EIAMインスタンスに組織とアカウントが作成されます。
この例では、次の図に示すように、組織とアカウントがIDaaS EIAMインスタンスに手動で作成されます。 Lightweight Directory Access Protocol (LDAP) プロトコルを使用して、アカウント情報をIDaaS EIAMインスタンスに同期することもできます。 これにより、従業員はADまたはLDAP認証を使用してアプリケーションにログオンできます。 詳細については、「AD認証を使用してクライアントがVPCにアクセスするためのSSL-VPN接続の確立」をご参照ください。 アカウントを同期する方法の詳細については、「アカウントまたは組織の作成」をご参照ください。
VPCが中国 (杭州) リージョンに作成され、関連するアプリケーションがVPCのECSインスタンスにデプロイされます。 詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。
クライアントがECSインスタンスにデプロイされたクラウドリソースにアクセスできるように、VPC内のECSインスタンスにセキュリティグループルールが設定されていることを確認します。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
クライアントはインターネットにアクセスできます。 クライアントのプライベートCIDRブロックは、VPCのプライベートCIDRブロックと重複しません。
手順
ステップ1: SSL-VPNアプリケーションの追加
IDaaSコンソールにログインします。
左側のナビゲーションウィンドウで、[EIAM] をクリックします。[EIAM] ページの [IDaaS] タブで、[前提条件] で作成したIDaaS EIAMインスタンスを見つけ、[操作] 列の [管理] をクリックします。
表示されるページの左側のナビゲーションウィンドウで、[アプリケーション] をクリックします。 [アプリケーション] ページで、[アプリケーションの追加] をクリックします。
[アプリケーションの追加] ページで、[Alibaba SSL VPN] テンプレートを見つけ、[アプリケーションの追加] をクリックします。
[アプリケーションの追加-Alibaba SSL VPN] ダイアログボックスで、アプリケーションの名前を入力し、[追加] をクリックします。
アプリケーションの詳細ページの [サインイン] タブで、パラメーターのデフォルト値を使用し、ページ下部の [保存] をクリックします。
SSO: シングルサインオン (SSO) を有効にするかどうかを指定します。 デフォルトでは、このスイッチはオンになっています。
許可タイプ: 認証のためにアプリケーションによって使用される方法。 この例では、デフォルト値Password Grantが使用されています。 IdPsパラメーターのデフォルト値はIDaaSアカウントです。これは、IDaaS EIAMインスタンスで手動で作成したアカウントを使用して従業員のIDを確認することを示します。
権限付与: アプリケーションにアクセスできるユーザー。 この例では、デフォルト値が手動で使用されます。 この場合、指定したユーザーにアプリケーションにアクセスするための権限を手動で付与する必要があります。 詳細については、「SSOの設定」トピックの権限付与スコープセクションをご参照ください。
[サインイン] タブで、[権限付与] サブタブをクリックします。
SSL-VPN接続を介してアプリケーションにアクセスするために使用されるアカウントに権限を付与します。 詳細は、RAM権限付与を参照してください。
ステップ2: VPNゲートウェイの作成
にログインします。VPN gatewayコンソール.
On theVPN Gatewayページをクリックします。VPN Gateway の作成.
VPN Gatewayページで、次の表に記載されているパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。
次の表に、設定する必要がある主要なパラメーターのみを示します。 他のパラメーターについては、デフォルト値を使用するか、空のままにします。 詳細については、「VPN gatewayの作成と管理」をご参照ください。
パラメーター
説明
リージョン
VPNゲートウェイを作成するリージョン。 この例では、中国 (杭州) が選択されています。
説明VPCとVPNゲートウェイが同じリージョンにあることを確認します。
ゲートウェイタイプ
VPNゲートウェイのタイプ。 この例では、標準 が選択されています。
ネットワークタイプ
VPN gatewayのネットワークタイプを選択します。 この例では、[公開] が選択されています。
トンネル
VPN gatewayのトンネルモード。 このリージョンでサポートされているトンネルモードが表示されます。
[VPC]
VPNゲートウェイに関連付けられるVPC。
vSwitch 1
選択したVPCのVPNゲートウェイに関連付けられる最初のvSwitch。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
vSwitch 2
選択したVPCのVPNゲートウェイに関連付けられる2番目のvSwitch。
関連するVPCの異なるゾーンに2つのvSwitchを指定して、IPsec-VPN接続のゾーン間でディザスタリカバリを実装します。
1つのゾーンのみをサポートするリージョンの場合、ゾーン間のディザスタリカバリはサポートされません。 IPsec-VPN接続の高可用性を実装するには、ゾーンに2つのvSwitchを指定することを推奨します。 最初のものと同じvSwitchを選択することもできます。
説明VPCにデプロイされているvSwitchが1つだけの場合は、別のvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。
IPsec-VPN
VPN gatewayのIPsec-VPN機能を有効にするかどうかを指定します。 この例では、[無効] が選択されています。
SSL-VPN
VPN gatewayのSSL-VPN機能を有効にするかどうかを指定します。 この例では、[有効化] が選択されています。
SSL接続
VPNゲートウェイに接続できるクライアントの最大数。
説明SSL接続パラメーターは、SSL-VPN機能を有効にした後にのみ使用できます。
VPN gatewayページに戻り、作成したVPN gatewayを表示します。
前の手順で作成したVPN gatewayは、準備中 状態です。 約1〜5分後、VPNゲートウェイは正常状態になります。 正常 状態は、VPNゲートウェイが初期化され、使用可能な状態であることを示します。
手順3: SSLサーバーの作成
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、SSLサーバーを作成するリージョンを選択します。
説明作成したSSLサーバーとVPN gatewayが同じリージョンにあることを確認してください。
On theSSL サーバーページをクリックします。SSLサーバーの作成.
SSLサーバーの作成 パネルで、次の表に示すパラメーターを設定し、[OK] をクリックします。
次の表に、設定する必要がある主要なパラメーターのみを示します。 他のパラメーターについては、デフォルト値を使用するか、空のままにします。 詳細については、「SSLサーバーの作成と管理」をご参照ください。
パラメーター
説明
VPNゲートウェイ
作成したVPNゲートウェイ。
ローカルネットワーク
接続するVPCのCIDRブロック。 この例では、192.168.0.0/16が使用されます。
クライアントCIDRブロック
クライアントがSSLサーバーに接続するために使用するCIDRブロック。 この例では、10.0.0.0/24が使用されます。
重要クライアントCIDRブロックのサブネットマスクの長さは16〜29ビットである必要があります。
クライアントCIDRブロックが、クライアントに関連付けられているローカルCIDRブロック、VPC CIDRブロック、またはルートCIDRブロックと重複しないようにします。
10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはそれらのサブネットのいずれかをクライアントCIDRブロックとして使用することを推奨します。 パブリックCIDRブロックをクライアントCIDRブロックとして指定する場合は、パブリックCIDRブロックをVPCのユーザーCIDRブロックとして指定する必要があります。 これにより、VPCはパブリックCIDRブロックにアクセスできます。 詳細については、「」をご参照ください。ユーザーCIDRブロックとは何ですか? とユーザーCIDRブロックを設定するにはどうすればよいですか? 「FAQ」トピックのセクション。
SSLサーバーを作成すると、クライアントCIDRブロックを指すルートがVPCルートテーブルに自動的に追加されます。 クライアントCIDRブロックを指すルートをVPCルートテーブルに再度追加しないでください。 そうしないと、SSL-VPN接続は期待どおりに機能しません。
高度な設定
高度な設定。 VPNゲートウェイの2要素認証を有効にする必要があります。 この例では、IDaaSインスタンスバージョンパラメーターにEIAM 2.0 (推奨) が選択されています。 他のパラメーターにはデフォルト値を使用します。
IDaaSインスタンスリージョン: IDaaS EIAM 2.0インスタンスが存在するリージョン。 この例では、中国 (杭州) が選択されています。
IDaaSインスタンス: SSLサーバーに関連付けるインスタンス。 前提条件で作成したIDaaS EIAM 2.0インスタンスを選択します。
IDaaSアプリケーション: IDaaSインスタンスに追加されるSSL-VPNアプリケーション。
説明UAE (ドバイ) リージョンでSSLサーバーを作成する場合、遅延を減らすためにシンガポールのIDaaS EIAM 2.0インスタンスにSSLサーバーを関連付けることを推奨します。
手順4: SSLクライアント証明書の作成
左側のナビゲーションウィンドウで、 .
On theSSL クライアントページをクリックします。SSL クライアントの作成.
SSL クライアントの作成 パネルで、SSLクライアントの名前を入力し、接続するSSL サーバーを選択し、[OK] をクリックします。
SSL クライアント ページで、作成したSSLクライアントを見つけ、[操作] 列の 証明書のダウンロード をクリックします。
ダウンロードしたSSLクライアント証明書パッケージをローカルディレクトリに保存して、さらにクライアントを設定します。
手順5: クライアントの設定
Linuxクライアントの設定
コマンドラインインターフェイス (CLI) を開きます。
次のコマンドを実行してOpenVPNをインストールします。
# Run the following command to install OpenVPN on CentOS: yum install -y openvpn # Run the following command to check whether the /etc/openvpn/conf directory is created. If the directory is not created, you must manually create the /etc/openvpn/conf directory. cd /etc/openvpn # Go to the openvpn directory. ls # Check whether the conf directory is created in the openvpn directory. mkdir -p /etc/openvpn/conf # If the conf directory does not exist in the openvpn directory, you must manually create the conf directory. # Run the following commands to install OpenVPN on Ubuntu: apt-get update apt-get install -y openvpn # Run the following command to check whether the /etc/openvpn/conf directory is created. If the directory is not created, you must manually create the /etc/openvpn/conf directory. cd /etc/openvpn # Go to the openvpn directory. ls # Check whether the conf directory is created in the openvpn directory. mkdir -p /etc/openvpn/conf # If the conf directory does not exist in the openvpn directory, you must manually create the conf directory.
ダウンロードしたSSLクライアント証明書パッケージを解凍し、SSLクライアント証明書を/etc/openvpn/conf /ディレクトリに移動します。
/etc/openvpn/confディレクトリに移動し、次のコマンドを実行して、ユーザー名とパスワードを入力します。 クライアントがIDaaS認証に合格すると、SSL-VPN接続が確立されます。
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
Windowsクライアントの構成
をダウンロードしてインストールします。Windows用OpenVPNクライアント.
ダウンロードしたSSLクライアント証明書パッケージを解凍し、SSLクライアント証明書をOpenVPN\configディレクトリに移動します。
この例では、証明書はC:\Program Files\OpenVPN\configディレクトリにコピーされます。 OpenVPNクライアントがインストールされているディレクトリに証明書をコピーする必要があります。
OpenVPNクライアントを起動し、[接続] をクリックして、ユーザー名とパスワードを入力します。 クライアントがIDaaS認証に合格すると、SSL-VPN接続が確立されます。
macOSクライアントの設定
CLIを開きます。
HomebrewがmacOSにインストールされていない場合は、次のコマンドを実行してHomebrewをインストールします。
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
次のコマンドを実行してOpenVPNをインストールします。
brew install openvpn
ダウンロードしたSSLクライアント証明書パッケージをOpenVPNクライアントの構成ディレクトリにコピーします。
のすべての設定ファイルをバックアップします。/usr/local/etc/openvpnディレクトリに移動します。
重要OpenVPNのデフォルトのインストールパスは、macOSのバージョンによって異なる場合があります。 この操作以降の操作を実行するときは、関連するパスを実際のインストールパスに置き換えます。
次のコマンドを実行して、OpenVPNの設定ファイルを削除します。
rm /usr/local/etc/openvpn/*
次のコマンドを実行して、ダウンロードしたSSLクライアント証明書パッケージをOpenVPNの構成ディレクトリにコピーします。
cp cert_location /usr/local/etc/openvpn/
cert_location
は、ダウンロードしたSSLクライアント証明書パッケージのパスを示します。 例: /Users /Example /Downloads/certs6.zip
次のコマンドを実行して、証明書パッケージを解凍します。
cd /usr/local/etc/openvpn/ unzip /usr/local/etc/openvpn/certs6.zip
/usr/local/etc/openvpnディレクトリに移動し、次のコマンドを実行し、ユーザー名とパスワードを入力してSSL-VPN接続を確立します。
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
ステップ6: 接続のテスト
上記の手順を完了すると、クライアントはVPCに接続され、VPC内のリソースにアクセスできます。 LinuxクライアントとVPC間の接続をテストするには、次の手順を実行します。
クライアントでCLIを開きます。
ping
コマンドを実行してVPCのECS 1インスタンスにアクセスし、接続をテストします。ping <IP address of ECS 1>
次のメッセージが返された場合、クライアントはVPC内のリソースにアクセスできます。
IDaaS EIAM 1.0インスタンスの構成
IDaaS EIAM 1.0インスタンスを使用する場合、SSL-VPNアプリケーションを追加する必要はありません。 SSLサーバーを作成するときに、IDaaS EIAM 1.0インスタンスをSSLサーバーに直接関連付けることができます。 残りの手順は、IDaaS EIAM 2.0インスタンスを使用する場合と同じです。