VPN接続の際にお客様の認証基盤を用いて認証する機能です。認証方法は、ADを用いたNTLM認証と、IDプロバイダを用いたSAML認証の2種類を提供します。両方の認証方法を併用することもできます。

NTLM認証をご利用いただく場合は、本サービス設備に対する設定が必要となるため、認証ドメインの追加や変更の度にお申込みが必要です。
SAML認証をご利用いただく場合は、『Mobilityコンソール』上で設定できるため、お申込みは不要です。ただし、IIJ IDとの連携をご希望の場合はお申込みが必要です。

1：NTLM認証

NTLM認証では、『FXZ AD』ドメインに所属する『Mobilityサーバ』が『Secure Accessクライアント』を代理しお客様ADに認証要求を送信します。本認証方法を実現するために、本サービスではお客様ADと『FXZ AD』のAD信頼関係を必要とします。AD信頼関係を結ぶには、お客様DNSサーバに本サービスで案内するドメインに対する「条件付きフォワーダー」をご設定のうえ、「Active Directory ドメインと信頼関係」の設定を行っていただきます。なお、本サービスではお客様ADのアカウントのパスワードを保持することはございません^※1。

ユーザ認証を可能とするためには、最低限、お客様ADからみて入力方向の信頼を結んでいただく必要がございます。ただし、入力方向の信頼のみの場合、お客様ADに対する読み書きが必要な一部付帯機能が利用できなくなりますので^※2、本サービスでは双方向の信頼を結んでいたたくことを推奨しております。ご利用できない付帯機能が存在した場合、双方向の信頼関係への切り替えをお願いする場合がございますので、予めご了承ください。

※1：AD信頼関係を結び権限を委任する際に一時的にお客様ADの資格情報を必要としますが、サービス利用開始後はその資格情報は停止または削除いただいて構いません。
※2：パスワードの有効期限が切れたアカウントでVPN認証を試行した際にパスワードを更新する機能などがご利用いただけません。

1-1：FXZ ADの仕様

※3：ヒアリングシートでお客様環境との重複がないことを確認。万が一重複がある場合には、サービス既定のその他の候補について、追加で利用状況をお伺いさせていただきます。本サービスを複数ご契約いただく場合、1契約目で本ドメインを使用いたしますので、必ずご申告をお願いいたします。特に本サービスとは別に他のフォレスト/ドメインと信頼関係を結ばれている方はご注意ください。

1-2：動作仕様

2：SAML認証

SAML認証では、『Secure Accessクライアント』が直接IDプロバイダにSAML認証要求を送信します。この認証要求はポリシーによるトラフィック制御の影響を受けず、デバイスから直接発信されます。

認証先のIDプロバイダは『Mobilityコンソール』で予め設定する必要があり、複数設定することが可能です。デバイス/デバイスグループ単位で認証先のIDプロバイダを指定することができます。ただし、本サービスに初めて接続するデバイスは事前に認証先を指定することができないため、既定の単一認証先以外で認証することはできません。

本サービスでは、SAML2.0をサポートするIDプロバイダであれば、利用に制限を設けておりません。ただし、あらゆるIDプロバイダが利用可能であることを保証するものではございません。また、IDプロバイダが提供する認証以外の機能の動作保証もいたしかねます。特にIIJ ID以外のIDプロバイダをご利用のお客様は、お客様の責任において動作の確認をお願いいたします。

2-1：動作仕様

※1：Windowsのみサポート。

2-2：IIJ ID連携

IIJ IDとの連携をお申込みいただいた場合は、『Mobilityコンソール』およびIIJ IDで登録する一部設定を代行いたします。
IIJ IDには下記エンティティIDで登録いたします。また、IIJ IDからはSAML アサーション属性として下記を取得いたします。

2-3：動作確認済みIDプロバイダ

参考情報として、製品ベンダであるAbsolute Softwareが動作確認済みのIDプロバイダを掲載いたします。ただし、本サービスで設定方法などをご案内することはいたしかねます。

• Azure Active Directory
• Duo Access Gateway
• Okta