VPN接続の際にお客様の認証基盤を用いて認証する機能です。認証方法は、ADを用いたNTLM認証と、IDプロバイダを用いたSAML認証の2種類を提供します。両方の認証方法を併用することもできます。

NTLM認証を利用する場合は、本サービス設備に対する設定が必要となるため、認証ドメインの追加や変更の度にお申込みが必要です。
SAML認証を利用する場合は、『Secure Accessコンソール』上で設定できるため、お申込みは不要です。ただし、IIJ IDとの連携を希望する場合はお申込みが必要です。

1：NTLM認証

NTLM認証では、『FXZ AD』ドメインに所属する『Secure Accessサーバ』が『Secure Accessクライアント』を代理しお客様ADに認証要求を送信します。本認証方法を実現するために、本サービスではお客様ADと『FXZ AD』のAD信頼関係を必要とします。AD信頼関係を結ぶには、お客様DNSサーバに本サービスで案内するドメインに対する「条件付きフォワーダー」を設定の上、「Active Directory ドメインと信頼関係」の設定を行っていただきます。なお、本サービスではお客様ADのアカウントのパスワードを保持することはありません^※1。

ユーザ認証を可能とするためには、最低限、お客様ADからみて入力方向の信頼を結んでいただく必要があります。ただし、入力方向の信頼のみの場合、お客様ADに対する読み書きが必要な一部付帯機能が利用できなくなりますので^※2、本サービスでは双方向の信頼を結ぶことを推奨します。利用できない付帯機能が存在した場合、双方向の信頼関係への切り替えをお願いする場合があります。

※1：AD信頼関係を結び権限を委任する際に一時的にお客様ADの資格情報を必要としますが、サービス利用開始後はその資格情報は停止または削除いただいて構いません。
※2：パスワードの有効期限が切れたアカウントでVPN認証を試行した際にパスワードを更新する機能などが利用できません。

1-1：FXZ ADの仕様

※3：ヒアリングシートでお客様環境との重複がないことを確認。万が一重複がある場合には、サービス既定のその他の候補について、追加で利用状況をお伺いさせていただきます。本サービスを複数ご契約いただく場合、1契約目で本ドメインを使用しますので、必ず申告してください。特に本サービスとは別に他のフォレスト/ドメインと信頼関係を結ばれている方は注意してください。

1-2：動作仕様

2：SAML認証

SAML認証では、『Secure Accessクライアント』が直接IDプロバイダにSAML認証要求を送信します。この認証要求はポリシーによるトラフィック制御の影響を受けず、デバイスから直接発信されます。

認証先のIDプロバイダは『Secure Accessコンソール』であらかじめ設定する必要があり、複数設定することが可能です。デバイス/デバイスグループ単位で認証先のIDプロバイダを指定することができます。ただし、本サービスに初めて接続するデバイスは事前に認証先を指定することができないため、既定の単一認証先以外で認証することはできません。

本サービスでは、SAML2.0をサポートするIDプロバイダであれば、利用に制限を設けていません。ただし、あらゆるIDプロバイダが利用可能であることを保証するものではありません。また、IDプロバイダが提供する認証以外の機能の動作保証をしていません。特にIIJ ID以外のIDプロバイダを利用しているお客様は、お客様の責任において動作の確認をしてください。

2-1：動作仕様

※1：Windowsのみサポート。

2-2：IIJ ID連携

IIJ IDとの連携をお申込みいただいた場合は、『Secure Accessコンソール』及びIIJ IDで登録する一部設定を代行します。
IIJ IDには下記エンティティIDで登録します。また、IIJ IDからはSAML アサーション属性として下記を取得します。

2-3：動作確認済みIDプロバイダ

参考情報として、製品ベンダであるAbsolute Softwareが動作確認済みのIDプロバイダを掲載します。ただし、本サービスでは設定方法などを案内していません。

• Microsoft Entra ID
• Duo Access Gateway
• Okta