top of page
執筆者の写真Natsuki Hara

Identity Agentを使用してサイト配下のユーザーの識別を行う

サイト(Socket)の配下にいるユーザーを識別するIdentity Agent機能について紹介します。



概要

Cato VPN ClientのIdentity Agentを有効にすることでサイトから接続を行うユーザーを識別することが可能になります。Identity Agentは端末のユーザー情報を取得し、このIDを 約30秒ごとにPoP に報告します。

Cato VPN Clientは端末にインストールされた後、トンネルを確立せずにバックグラウンドで実行され、Cato Cloud にユーザー ID を提供します。ユーザーによるアクションは必要ありません。



前提条件と要件

Identity Agent は、Windows、macOS、および Linux クライアントでサポートされていますが、CC2アカウントが連携しているIdpとクライアントOSとの組み合わせにより要件が異なります。

Cato Knowledge Baseより抜粋(2024年3月時点)


ポイント

AD または Azure ADに参加しているWindowsクライアントの場合、ユーザーに SDP ライセンスは必要なく、Cato VPN Clientを接続状態にする必要はありません。



検証環境

本記事は以下の構成でIdentity Agentを使用します。

IdP:Azure AD

クライアント:Windows10

Azure ADユーザーをCMAにプロビジョニング済み



Identity Agent の有効化

CMA側

CMAのAccess > User Awareness > Identity Agent を選択して、

[Enable Identity Agent]を有効にします。


クライアント側

ユーザー認識を行う端末にCato VPN Clientをインストールします。Cato VPN Clientを起動してユーザーを追加する必要はありません。


Identity Agentを利用するための設定は以上で完了です。



Identity Agent の動作確認

Azure ADからプロビジョニングを行った「scim02」というユーザーでソケット配下のWindows端末にサインインします。

このユーザーはSDPライセンスを割り当てられていません。


Identity Agent が無効

先にIdentity Agent が無効の時のアクセスログを確認します。


Cato VPN ClientのStatsではIdentity Agentに関する機能がoffになっています。





















Socket配下のWindows端末からインターネットにアクセスした際のイベントログです(一部省略)

User Display Name は”Unidentified”や“Pending Identification”と表示されユーザー名を確認することはできません。



Identity Agent が有効

次にIdentity Agent が有効の時のアクセスログです。


Cato VPN Client のStatsではIdentity Agent がOnと表示され、認識しているユーザー名とPoPにユーザー名を報告した時刻が表示されています。






















同様にインターネットにアクセスした際のイベントログです(一部省略)

User Display Name にメールアドレス(ユーザー名)が表示されユーザー名を確認することができます。



まとめ

Identity Agentを利用することでサイト配下の端末のユーザー識別を行えることが確認できました。Cato VPN Clientを接続状態にする必要はなく端末にインストールされていればよいので、利用者が意識することなく利用することができます。


以上、Identity Agentの紹介でした。


閲覧数:284回

最新記事

すべて表示

Comments


bottom of page