Active Directoryの本人確認機能をツールで実装するには？

ADSelfService Plusにおけるユーザーの本人確認

エンドユーザーがパスワードをリセットしたりアカウントをロック解除ことで、セキュリティリスクに対処します。ハッカーが認証情報を盗むために有効なユーザーを装うことは珍しくありません。必要なユーザーだけがセルフサービスポータルにアクセスするようにするために、ADSelfService Plusは、以下のような厳格な認証方法でユーザーの本人確認を行います：

• セキュリティ質問と回答
• SMSおよびメール認証コード
• Google Authenticator
• Duo Security
• RSA SecurID
• RADIUS
• プッシュ通知
• 指紋認証
• QRコードベースの認証
• タイムベースのワンタイムパスワード（TOTP）

管理者は、すべての認証手続きや、ニーズに応じて利用可能な手続きの組み合わせを柔軟に選択することができます。

セキュリティ質問と回答

ユーザーは、個人情報に回答することでADSelfService Plusに登録します。回答はADSelfService Plusのデータベースに暗号化形式で保存されます。パスワードのリセットやアカウントのアンロックのためには、ユーザーは、以前回答した質問への回答によって本人確認をする必要があります。

管理者は、質問と回答に制限を追加することで本人確認を強化します。

SMSおよびメールの認証コード

ユーザーがパスワードのリセットやアカウントロック解除を試みるときに、認証コードがモバイルデバイスまたはメールアドレスに送信されます。管理者は、パスワードをリセットするために使用する安全なリンクをメールで送信することもできます。管理者は、ユーザーがログインをブロックされる前に無効な認証情報を入力することのできる回数を設定することもできます。

注意：管理者は、ADSelfService Plusの構成により、モバイルデバイスとメールアドレスをActive Directory内の対応のLDAP属性から抽出することができます。

Google Authenticator

ADSelfService Plusは、広汎に使用されているGoogle Authenticatorや、モバイル用のサードパーティ認証アプリケーションをサポートしています。ユーザーは、QRコードをスキャンしてADSelfService Plusに登録します。ユーザーは、セルフサービス操作を実行するときに、本人確認のためにGoogle Authenticatorに表示されたコードをアプリに入力します。

Google Authenticatorに加えて、管理者は、Microsoft AuthenticatorやSophos Authenticatorなどのサードパーティのタイムベース認証を使用することもできます。

Duo Security

ADSelfService Plusの多段階認証は、Duo Securityをサポートしています。これは広く信頼されているアクセスプラットフォームであり、ユーザーの本人確認により組織の安全性を確保します。ユーザーはDuo Securityに登録する必要があります。この認証方法が有効化されると、ユーザーは、パスワードのリセットやアカウントのアンロックを行うときに、Duo Securityが認証コードを送信する通知方法を選択する必要があります。認証が成功すると、ユーザーはセルフサービスでパスワードやアカウントを操作できます。

RSA SecurID

ADSelfService Plusは、RSA SecurIDと統合して、ネットワークリソースへのアクセスを試みるユーザーに安全な認証方法を提供します。ユーザーはパスワードのリセットやアカウントのアンロックを行うときに、RSA SecurIDのモバイルアプリが生成したセキュリティコード、メールまたはSMSで取得したハードウェアトークンやトークンを使用して、ADSelfService Plusにログインすることができます。

RADIUS

ADSelfService Plusは、管理者がRADIUSをユーザー認証の手段として追加することを可能にします。管理者がRADIUSを有効化すると、ユーザーはRADIUSパスワードを本人確認のために入力する必要があります。アカウントを認証すると、ユーザーはセルフサービス操作を実行して、プロトコルで要求されている次の認証手順に移行することができます。

悪質なユーザーが回答を何度も推測することを防ぐために、管理者は、一定期間中に一定回数誤った回答を提出したアカウントを一時的にブロックするように設定できます。

プッシュ通知

プッシュ通知は認証のための最も簡単ですばやい手段の1つです。プッシュ通知を有効化すると、ADSelfService Plusから登録したモバイル端末のアプリ宛にログオンリクエストが送信されます。認証リクエストを承認、および想定外のリクエストを拒否できます。一度登録すると、ユーザーはモバイルアプリからプッシュ通知を使用してパスワードのリセットやアカウントロックの解除ができます。

指紋認証

人の指紋ほどユニークなものはありません。そのため、指紋認証は最も簡単で最も安全な認証手段の1つとなっています。ユーザーの登録したモバイルデバイスに指紋センサーが搭載されている場合、指紋を使用して、ADSelfService Plusのモバイルアプリからパスワードのリセットやアカウントロックの解除ができます。

QRコードを利用した認証

ADSelfService Plusのモバイルアプリでは、すべてのユーザーがQRコードを使用して認証する必要があります。ユーザーは、ADSelfService PlusのWebポータルに表示されたQRコードを、登録したモバイルデバイスからスキャンして、手順を完了することができます。

タイムベースのワンタイムパスワード（TOTP）

最も広く利用されている認証方法の1つは、タイムベースのワンタイムパスワードです（TOTP）。ADSelfService Plusのモバイルアプリは、1分ごとに変化するTOTPを生成します。ユーザーは、一定時間中に6文字のパスワードを入力することで、本人確認を完了することができます。

仕組み

本人確認のプロセスは、ユーザーがADSelfService Plusのアプリケーションにアクセスして、パスワードのリセットまたはアカウントロックの解除のリンクをクリックしたときに開始します。ユーザーがユーザー名とドメインを入力した後、ADSelfService Plusのサーバーがセキュリティチェックを実行します。

ドメイン関係のチェック：ユーザーが特定のドメインと関係しているかどうかチェックします。

ポリシー設定のチェック：ユーザーがADSelfService Plusを通じてパスワードのリセットやアカウントロックの解除を行う権限を有しているかどうかチェックします。ADSelfService Plusのポリシーを構成して、エンドユーザーが特定のセルフサービス機能にアクセスできるようにします。

登録ステータスのチェック：セキュリティ質問への回答、携帯電話番号やメールアドレスの更新、Google Authenticatorとの同期に基づいて、ユーザーがADSelfService Plusに登録しているかどうかチェックします。パスワードのリセットとアカウントロックの解除を行うことができるのは登録したユーザーのみです。

ブロックユーザーのチェック：ユーザーアカウントが、複数回の不正操作により、ADSelfService Plusのサーバーにおいて、セルフサービス操作を実行できないようにブロックされているかどうかチェックします。正しい認証コードを入力しなかったユーザーや、セキュリティ質問に正しく回答しなかったユーザーは、ADSelfService Plusの管理者によって設定された回数の試行を行った後、アプリケーションによってブロックされます。これは、ボットベースの攻撃やDOS攻撃などを防ぐのに役立ちます。

暫定チェックが完了すると、ADSelfService Plusは、管理者が設定した認証手続きの実行によって、ユーザーの本人確認を行います。

利点

セキュリティの改善：広く使用されている質問と回答のセキュリティは、ソーシャルメディアでも採用されていますが、ハッカーが特定しやすい質問と回答をユーザーが入力するために、問題があります。認証コードとGoogle Authenticatorを本人確認プロセスに追加することで、ADSelfService Plusは、アカウントのセキュリティを向上させます。

ユーザーフレンドリー：メールとモバイル携帯は簡単にアクセスできるため、これらのデバイスはユーザーが外出先でアカウントを管理するための簡単な方法です。

管理者の権限：管理者は、セキュリティを向上させるための認証方法を自由自在に選択することができます。

パスワードセルフサービスに関するメール通知：ユーザーがセルフサービス操作を完了すると、ADSelfService Plusからメール通知が送信されます。メール通知は不正なアカウントアクティビティが行われたときのアラートとして動作し、ユーザーが損害を防ぐことができるようにします。

主な機能