皆さん、こんにちは!
私の勤めている会社の設定は以下の通りです:
- ASA VPN
- ISE
- いくつかのサブネット (/26-/30)
- Azure AD
- ASAとAzure ADの連携(NPSサーバー経由、MFA、AAA)
各サブネットはISEを通じてAzure ADグループにマッピングされています(以下のSGTの説明参照)。
ビジネス側は、ユーザーが対応するグループのメンバーである場合に限り、これらのサブネットにアクセスできるようにしたいと考えています。例:
ユーザー1はグループAとBに所属している=サブネットAとBにアクセス可能
ユーザー2はグループBに所属している=Bのみにアクセス可能
(非常に似た例についてはこちらを参照ください。)
SGT設定:ISEでは、各サブネットを独自のSGTタグにマッピングし、各AADグループも独自のSGTタグにマッピングしています。そのため、ASAのルールセットはIP/サブネットオブジェクトではなく、SGTに基づいています。
このアプローチの大きな制限は、ASAがAnyConnectユーザーをどのように認識するかです:接続時に、そのユーザーは一度に1つのAADグループ(SGT)にしか属していません。これにより、複数グループのミックス&マッチ要件が破られます。
このニーズに対する解決策を探してきましたが、見つかったのは以下の通りです:
- DAPの実装
- ISEでのマルチマッチ認証ポリシー (https://community.cisco.com/t5/network-access-control/can-ise-asa-anyconnect-support-multiple-ad-group-membership/m-p/3503688/highlight/true#M540280)
- 複数のdestination SGT/サブネットを含むメタグループ - 最善策だが、ビジネス側は好まない
この2つはスケールしないと懸念しています。数百のサブネットやADグループ、SGTタグを扱うとなると特にです。
何かアイデアはありますか?アプローチを根本的に見直すつもりです。私はASAとISEについてあまり詳しくありません。何か見落としがあるかもしれません。
よろしくお願いします!
追記:皆さんの提案に感謝します。要件の簡素化に向けて取り組んでいます。代替案としてADグループベースのルールもあります。それでも多すぎますが、何とかなるかもしれません。