top of page

Identity Agentを使用してサイト配下のユーザーの識別を行う

  • 執筆者の写真: フーバーブレイン Cato Cloud チーム
    フーバーブレイン Cato Cloud チーム
  • 2024年3月6日
  • 読了時間: 3分

サイト(Socket)の配下にいるユーザーを識別するIdentity Agent機能について紹介します。


概要

Cato VPN ClientのIdentity Agentを有効にすることでサイトから接続を行うユーザーを識別することが可能になります。Identity Agentは端末のユーザー情報を取得し、このIDを 約30秒ごとにPoP に報告します。

Cato VPN Clientは端末にインストールされた後、トンネルを確立せずにバックグラウンドで実行され、Cato Cloud にユーザー ID を提供します。ユーザーによるアクションは必要ありません。


前提条件と要件

Identity Agent は、Windows、macOS、および Linux クライアントでサポートされていますが、CC2アカウントが連携しているIdpとクライアントOSとの組み合わせにより要件が異なります。

ree

Cato Knowledge Baseより抜粋(2024年3月時点)


ポイント

AD または Azure ADに参加しているWindowsクライアントの場合、ユーザーに SDP ライセンスは必要なく、Cato VPN Clientを接続状態にする必要はありません。


検証環境

本記事は以下の構成でIdentity Agentを使用します。

  • IdP:Azure AD

  • クライアント:Windows10

  • Azure ADユーザーをCMAにプロビジョニング済み


Identity Agent の有効化

CMA側

CMAのAccess > User Awareness > Identity Agent を選択して、

[Enable Identity Agent]を有効にします。

ree


クライアント側

ユーザー認識を行う端末にCato VPN Clientをインストールします。Cato VPN Clientを起動してユーザーを追加する必要はありません。


Identity Agentを利用するための設定は以上で完了です。



Identity Agent の動作確認

Azure ADからプロビジョニングを行った「scim02」というユーザーでソケット配下のWindows端末にサインインします。

このユーザーはSDPライセンスを割り当てられていません。

ree
ree

Identity Agent が無効

先にIdentity Agent が無効の時のアクセスログを確認します。

ree

Cato VPN ClientのStatsではIdentity Agentに関する機能がoffになっています。

ree




















Socket配下のWindows端末からインターネットにアクセスした際のイベントログです(一部省略)

User Display Name は”Unidentified”や“Pending Identification”と表示されユーザー名を確認することはできません。

ree













Identity Agent が有効

次にIdentity Agent が有効の時のアクセスログです。

ree

Cato VPN Client のStatsではIdentity Agent がOnと表示され、認識しているユーザー名とPoPにユーザー名を報告した時刻が表示されています。

ree
























同様にインターネットにアクセスした際のイベントログです(一部省略)

User Display Name にメールアドレス(ユーザー名)が表示されユーザー名を確認することができます。

ree

まとめ

Identity Agentを利用することでサイト配下の端末のユーザー識別を行えることが確認できました。Cato VPN Clientを接続状態にする必要はなく端末にインストールされていればよいので、利用者が意識することなく利用することができます。


以上、Identity Agentの紹介でした。


コメント

bottom of page