サイト(Socket)の配下にいるユーザーを識別するIdentity Agent機能について紹介します。
概要
Cato VPN ClientのIdentity Agentを有効にすることでサイトから接続を行うユーザーを識別することが可能になります。Identity Agentは端末のユーザー情報を取得し、このIDを 約30秒ごとにPoP に報告します。
Cato VPN Clientは端末にインストールされた後、トンネルを確立せずにバックグラウンドで実行され、Cato Cloud にユーザー ID を提供します。ユーザーによるアクションは必要ありません。
前提条件と要件
Identity Agent は、Windows、macOS、および Linux クライアントでサポートされていますが、CC2アカウントが連携しているIdpとクライアントOSとの組み合わせにより要件が異なります。
Cato Knowledge Baseより抜粋(2024年3月時点)
ポイント
AD または Azure ADに参加しているWindowsクライアントの場合、ユーザーに SDP ライセンスは必要なく、Cato VPN Clientを接続状態にする必要はありません。
検証環境
本記事は以下の構成でIdentity Agentを使用します。
IdP:Azure AD
クライアント:Windows10
Azure ADユーザーをCMAにプロビジョニング済み
Identity Agent の有効化
CMA側
CMAのAccess > User Awareness > Identity Agent を選択して、
[Enable Identity Agent]を有効にします。
クライアント側
ユーザー認識を行う端末にCato VPN Clientをインストールします。Cato VPN Clientを起動してユーザーを追加する必要はありません。
Identity Agentを利用するための設定は以上で完了です。
Identity Agent の動作確認
Azure ADからプロビジョニングを行った「scim02」というユーザーでソケット配下のWindows端末にサインインします。
このユーザーはSDPライセンスを割り当てられていません。
Identity Agent が無効
先にIdentity Agent が無効の時のアクセスログを確認します。
Cato VPN ClientのStatsではIdentity Agentに関する機能がoffになっています。
Socket配下のWindows端末からインターネットにアクセスした際のイベントログです(一部省略)
User Display Name は”Unidentified”や“Pending Identification”と表示されユーザー名を確認することはできません。
Identity Agent が有効
次にIdentity Agent が有効の時のアクセスログです。
Cato VPN Client のStatsではIdentity Agent がOnと表示され、認識しているユーザー名とPoPにユーザー名を報告した時刻が表示されています。
同様にインターネットにアクセスした際のイベントログです(一部省略)
User Display Name にメールアドレス(ユーザー名)が表示されユーザー名を確認することができます。
まとめ
Identity Agentを利用することでサイト配下の端末のユーザー識別を行えることが確認できました。Cato VPN Clientを接続状態にする必要はなく端末にインストールされていればよいので、利用者が意識することなく利用することができます。
以上、Identity Agentの紹介でした。