二段階認証

ユーザーログオンのセキュリティを強化するために、AD360は二段階認証をサポートしています。AD360を有効にすると、ユーザーはログインするたびに、Active Directoryの資格情報に加えて以下の認証メカニズムのいずれかを使用して認証する必要があります。

• メール認証
• SMS認証
• Google Authenticator
• RSA SecurID
• Duo Security
• RADIUS認証
• Microsoft Authenticator
• Custom TOTP Authenticator
• バックアップ検証コード

二段階認証の設定方法

• 管理者としてAD360にログインします。
• [管理]タブ-->[管理]-->[ログオン設定]をクリックします。
• 二段階認証タブをクリックします。
• 二段階認証の横にあるトグルボタンをクリックし、有効(緑色)にします。
  
• 表示されたリストから、選択した認証方法を選択します。
  

  ※

  • 複数の認証オプションが有効化されている場合、ユーザーはログイン時に1つを選択するように求められます。
  • 必要なすべての詳細を入力し、選択した認証オプションを構成していることを確認してください。
• 設定を保存します。

メール認証

メール認証を有効化した場合、AD360はメール経由でユーザーに確認コードを送信します。ユーザーが正常にログインするには、確認コードを入力する必要があります。

設定方法

1. 【メール設定を未設定の場合】[管理]タブ-->[一般設定]-->[サーバーの設定]-->[メール設定]にてメールサーバーを設定します。
2. [メール認証]をクリックし、メールの件名を入力します。
3. メッセージボックスにて、メール本文を入力します。
4. メッセージボックスの右上にあるアイコンにて、優先度を設定します。
5. 必要に応じて、メッセージボックスの右下にあるマクロを設定します。
6. 保存をクリックします。
   

有効化後、ユーザーがログイン時にメールアドレスの入力および認証コードの入力が求められます。

SMS認証

SMS認証を有効化後、AD360はSMSを介してユーザーの携帯電話番号に確認コードを送信します。ユーザーが正常にログインするには、確認コードを入力する必要があります。

設定方法

1. 【メール設定を未設定の場合】[管理]タブ-->[一般設定]-->[サーバーの設定]-->[メール設定]にてメールサーバーを設定します。
2. メッセージボックスにて、メール本文を入力します。
3. 必要に応じて、メッセージボックスの右下にあるマクロを設定します。
4. 保存をクリックします。
   

有効化後、ユーザーのログイン時に携帯電話番号、および認証コードの入力が求められます。

Google Authenticator

Google Authenticatorは、ユーザーがAD360へログイン時にユーザーのIDを確認（本人確認）する認証方法です。ユーザーは、Google Authenticatorによって生成された6桁のセキュリティコードを入力する必要があります。

設定方法

1. Google Authenticatorを有効化します。
2. 保存をクリックします。

有効化後、ユーザーはAD360へログイン時にGoogle Authenticatorによる本人確認が求められます。

RSA SecurID

RSA SecurIDは、ネットワークリソースに対するユーザーの2要素認証を実行するために開発されたメカニズムです。ユーザーは、RSA SecurIDモバイルアプリによって生成されたセキュリティコード、ハードウェアトークン、またはメールやSMSで受信したトークンを使用してAD360にログインできます。

設定方法

1. 管理者としてRSAにログインします。(例 https://ad360-rsa.testdomain.com/sc)
2. Authentication Agents-->Add New-->Applicationsに移動します。
3. authentication agentとしてAD360サーバーを追加し、設定を保存します。
4. Authentication Agents-->Generate Configuration File-->Accessへ移動します。
5. AM_Config.zip (Authentication Manager config)をダウンロードします。
6. ZIPファイルからsdconf.recを抽出します。
7. AD360の[RSA SecurID]にて、[参照]をクリックしsdconf.rec ファイルを選択します。
8. 必要なauthapi.jarファイルとそのLog4jJARファイルが<AD360_install_directory>\lib配下にあることを確認します。もしない場合、RSASecurIDから最新のauthapi.jarファイルとその最新のLog4jJARファイルを取得し、<AD360_install_directory>\lib配下に配置します。
9. 保存をクリックします。
   

有効化後、RSA SecurIDから受け取ったトークンを使用した本人確認を行うことができます。

Duo Security

Duo Securityは、アプリケーションへのアクセス中に追加のセキュリティを提供する2段階認証サービスです。ユーザーは、Duoモバイルアプリによって生成された6桁のセキュリティコードを使用する、または通知をプッシュしてAD360にログインできます。

設定方法

1. Duo Securityアカウントにログインします。(例 https://admin-325d33c0.duosecurity.com)またはSign upにて新規ログインします。
2. Applications-->Protect an Applicationをクリックします。
3. Web SDKを検索し、Protect this Applicationをクリックします。
4. Integration key、Secret key、API hostnameをAD360にコピーします。
5. 保存をクリックします。
   

※DuoSecurityで使用する正確なユーザー名パターンを選択してください。

※古いバージョンのInternet Explorerを使用している場合は、信頼できるサイトまたはイントラネットサイトとしてAPIホスト名（例：https：//api-325d33c0.duosecurity.com）、および管理コンソール（例：https：//admin-325d33c0.duosecurity.com）を追加します。

RADIUS Authentication

リモート認証ダイヤルインユーザーサービス（RADIUS）は、不正アクセスからネットワークを保護することでセキュリティを強化する業界標準のクライアント/サーバー認証プロトコルです。

AD360のRADIUSベースの2要素認証は、2つの手順で構成できます。

設定方法

Step 1: RADIUSをAD360に連携する

1. RADIUSサーバーにログインします。
2. clients.confファイル(/etc/raddb/clients.conf)を開きします。
3. 次のスニペットをclients.confファイルに追加します。

   client AD360ServerName
   {
   ipaddr = xxx.xx.x.xxx
   secret = <secretCode>
   nastype = other
   }

4. RADIUSサーバーを再起動します。

Step 2:AD360でRADIUSを登録する

• RADIUS Authenticationオプションを選択します。
• IPアドレスまたはRADIUSサーバー名を入力します。
• RADIUS authenticationのポート番号を入力します。
• ドロップダウンリストからRADIUS認証に使用するプロトコルを選択します。
• RADIUSサーバーのclients.confファイルに追加されたsecurity keyを設定します。
• RADIUSユーザー名のパターンを設定します。
• 認証要求のタイムアウト期間の期間を設定します。
• 保存をクリックします。
  

※ユーザー名パターンでは大文字と小文字が区別されます。RADIUSサーバーで使用するパターン（大文字または小文字）を正確に選択してください。

Microsoft Authenticator

管理者は、ログイン時にIDを確認する認証方法としてMicrosoft Authenticatorを追加できます。

設定方法

• Microsoft Authenticatorを有効化します。
• 保存をクリックします。

有効化後、ユーザーはAD360へログイン時に、Microsoft Authenticatorを使用して認証できます。

Custom TOTP Authenticator

上記の認証システムに加え、アプリケーションが以下の基準を満たしている場合は、IDを検証する手段としてカスタムTOTP認証システムを追加することもできます。

• さまざまな長さ（6、7、または8文字）のパスコードを設定できます。
• AD360が利用するすべてのパスワードハッシュアルゴリズム（SHA1、SHA256、およびSHA512）をサポートしています。

設定方法

1. Custom TOTP Authenticatorを有効化します。
2. authenticatorのアプリケーション名を入力します。
3. 使用可能なオプションからパスコードの長さおよびパスコードの有効期限を設定します。
4. TOTP認証システムのパスワードハッシュアルゴリズムを選択します。
5. ユーザー名がAuthenticatorに表示される形式を指定します。
6. authenticatorのロゴを選択します。 画像でサポートされている形式は、PNG、JPG、JPEG、BMP、およびGIFです。ロゴのサイズが45x45ピクセル以内であり、サイズが2MB未満であることをご確認ください。
7. 保存をクリックします。

※ パスコードハッシュアルゴリズム、パスコード有効期限、またはパスコード長フィールドの値が変更されると、構成されたカスタムTOTPオーセンティケーターのユーザー登録データが削除されます。この構成を無効にすると、登録データも削除されます。

有効化後、ユーザーはAD360にログイン時に、Custom TOTP Authenticatorにより認証を行うことができます。

バックアップ検証コード

ユーザーが電話にアクセスできない場合、登録された認証方法に何らかの問題が発生した場合などに、バックアップ検証コードを使用してログインできます。有効化後、合計5つのコードが生成されます。一度使用したコードは廃止され、再度使用することはできません。ユーザーには、新しいコードを生成するオプションもあります。

バックアップ検証コードの有効化

• バックアップ検証コードのチェックボックスにチェックを入れます。
  

バックアップ検証コードの登録

• 有効化後、ユーザーがAD360にログイン時にコードを構成するように通知されます。[今すぐ構成]をクリック後、二段階認証の設定ページに移動します。
  
• コードを表示するには、バックアップ検証コードの管理のリンクをクリックする必要があります。
  
• ユーザーは、コードをテキストファイルとしてダウンロード、印刷、個人のメールアドレスに送付、新しいコードを生成することもできます。
  

バックアップ検証コードを使用してログインする

• ログイン時にバックアップ検証コードを使用するには、ユーザーは二段階認証ページのバックアップ検証コードを使用するリンクをクリックする必要があります。
  
• バックアップ確認コードページで、バックアップ確認コードの1つを入力し、[コードの確認]をクリックしてログインする必要があります。
  

二要素認証のユーザー管理

管理者は、[ユーザーの管理]オプションを使用して、ユーザーが登録した認証方法を表示、二段階認証のユーザー登録を削除することができます。

次の手順をご参照ください。

• 二段階認証タブにて、登録ユーザーをクリックします。
• 表示された[ポップアップ画面で、二段階認証を登録しているユーザーリストおよびユーザーが選択した認証方法を表示できます。
• ユーザーを削除するには、ユーザーを選択して[削除]アイコンをクリックします。

ユーザーの二段階認証方法をパーソナライズするには

二要素認証に登録したユーザーは、以下の手順に従って、優先する認証方法を変更し、信頼できるブラウザーを管理できます。

• 画面右上にある人型アイコンの「マイアカウント」をクリックします。
• [二段階認証]をクリックします。
  
• 二段階認証を編集するには、認証モードを修正をクリックします。
• 信頼できるブラウザを管理するには、[信頼されたブラウザの管理]をクリックします。