AzureAD認証に成功するときと失敗する時があり、困っております。原因と対策を教えてください。

FSG, 仕様

2024年6月25日 (2024年7月1日:更新)

原因

AzureADとの認証シーケンス中にセルが切り替わることで認証に失敗する可能性がございます。
FSGのAzureAD認証は、以下のシーケンスで実施される。
1. 未認証の端末からの通信をUTM装置がAzureADにリダイレクト
2. AzureAD側で端末の認証が完了
3. AzureADから端末に認証クッキーをレスポンス
4. 端末からUTM装置宛にHTTP通信を行い認証に成功したことを通知
この時、1と4のUTM装置が切り替わると認証に失敗いたします。
1と4が切り替わる原因としては、FSGの負荷分散機能によってセルが切り替わる可能性があるからです。
※セルを複数購入されていないお客様、優先セル設定を用いて1セルに集中させる設計のお客様、private IP向けの通信はProxy除外しているお客様は除く

解決方法

FSGのProxyを経由せずに端末から直接AzureADに通信することで解決できます。
具体的な方法としては、お客様の端末のProxy設定に、Proxy除外としてFSGのActive Directory設定の”識別子/応答URL参照”のIPを登録していただくことで回避可能です。
“識別子/応答URL参照”の確認方法は、FSGコンソールの Active Directoryページから “識別子/応答URL参照”画面の”識別子”または”応答URL”から確認することができます。
以下のサンプル画面では”10.0.1.17″と”10.0.2.17″が除外対象となります。(除外対象IPはお客様のセル数に応じて増減いたします)