日本語フォーラム

 View Only
Back to discussions
Expand all | Collapse all

[ClearPass] Entra ID 連携設定のTips

This thread has been viewed 10 times

  • 1.  [ClearPass] Entra ID 連携設定のTips

    Posted Sep 26, 2025 12:31 AM

    以前、ClearPassとEntra ID(当時のAzure AD)の連携について記載しましたが、実際の設定でいくつかご相談を頂いたので、Tipsとして紹介します。
    特に、Entra IDのユーザ属性情報を確認する方法が大きく2つあり、デフォルトの設定でうまく動作しないケースもあるようなので、その場合の確認ポイントなどを解説します。

    過去の記事:
    IDaaSを使ったこれからのネットワーク認証
    [ClearPass] Onboardを使ったAzure ADとの連携

    連携イメージ:



    属性情報の取得方法
    1. Onboard時にClearPassのEndpoint DBにユーザ属性情報を書き込む

    注意点:
    ・この方法は、Onboard時にワンショットで書き込みがされるので、Onboard後にEntra ID側でユーザ情報を更新した場合には反映できません。
    ・MAC Address Randomize が有効な場合、Onboard時と認証時でESSIDが異なると、参照するEndpointが異なるため実質利用できません。

    設定ポイント:
    Onboardのプロビジョニング設定 > Webログイン > クラウドID の設定で、以下赤枠の2項目を設定

    上記設定をすると、OnboardでEntra IDにログインすると、Endpointの属性に、「social_xxx」で書き込まれていることが確認できます。
    802.1X認証、認可時にこれらの情報を使うことが可能です。

    2. 802.1Xの認証時に、認可でEntra IDに問い合わせてユーザ属性情報を確認する

    注意点:
    ・デフォルトでEntra IDの Email Field を見に行くので、Entra ID側でEmail Fieldを設定するか、ClearPass側でEntra IDへのQueryを変更する必要がある

    設定ポイント:
    ・Entra ID を認証ソースとして追加(これは必要情報を入れるだけ)
    ・認可時にEntra IDから正しく情報取得できるように設定する(2パターンの方法あり)

    a) Entra IDでユーザのコンタクト情報のEmail欄にUser IDを正しく入力する

    b) UPNを使うようにClearPassのフィルタクエリを設定する
    Entra ID側でEmail情報を全て入力するのが手間な場合、
    User principal name (UPN)を利用して、ユーザ属性情報を取得することができます。
    UPNは必須項目なので、こちらの設定の方が個人的には良いと思います。

    UPNを利用する場合、以下のClearPassの認証ソースの「属性」のフィルタークエリを編集する必要があります。

    上記赤枠内のクエリを、以下のように変更して下さい。
    &$filter=userPrincipalName eq %{Certificate:Subject-AltName-msUPN} の部分でUPNを使ってEntra IDのユーザ情報を参照しています。
    クエリを編集する時に、末尾にスペースや改行が入らないように注意して下さい。スペースや改行があると認可情報取得に失敗します。
    users:users/?$select=userPrincipalName,displayName,id,mail,accountEnabled,companyName,createdDateTime,department,employeeId,lastPasswordChangeDateTime,registeredDevices&$filter=userPrincipalName eq %{Certificate:Subject-AltName-msUPN};group:/users/%{users:id}/memberOf?$select=displayName,id,groupTypes


    正しく設定すると、802.1Xの認証ログ(アクセストラッカー)で認可情報を取得していることが確認できます。
    サービス設定でこの情報を活用して、適宜ポリシーを設定して下さい。


    その他確認ポイント
    Entra ID側のApp RegistrationのAPI Permissionで必要な権限は以下の2つです。TypeがApplicationであることも確認して下さい。

    ClearPassの802.1Xの認証ソースはEntra IDを指定できません。あくまで認可で利用するだけです。
    したがって認証ソースの設定は不要です。
    その代わりに、認証方式を新たに作成し、以下の項目を設定します。(デフォルトのEAP-TLSは編集できないため)
    必要な認可:無効
    証明書の比較:Compare CN or SAN
    OCSPなどは適宜


    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------


Related Content