マルチファクタ認証を使用してクラウドへのアクセスを保護する方法とは？

クラウドアプリケーションの普及により、クラウド内のデータに対してハッカーから望ましくない注目が集められています。ハッカーは、有効なユーザー名とパスワードを持つ人物を簡単に騙して、フィッシング攻撃によって資格情報を開示させることができます。ユーザー名とパスワードを使用してユーザーを認証する伝統的な方法は、もう効果的ではなくなってきています。

クラウドログインのセキュリティ保護

Active Directoryのセルフサービスパスワード管理とシングルサインオン（SSO）ソリューションであるADSelfService Plusは、マルチファクタ認証を使用してクラウドアプリケーションへのアクセスを保護します。ADSelfService PlusとSAML 2.0対応のクラウドアプリケーションの間でSSOを有効にすることで、クラウド内のユーザーの身元を簡単に保護できます。SSOが有効になっている場合、ユーザーは常にユーザー名とパスワードを使用してADSelfService Plusで認証し、次に選択した別の要素を使用する必要があります。認証が成功した場合に限り、エンドユーザーはクラウドアプリケーションにアクセスできるようになります。ADSelfService Plusは、IDプロバイダ（IDP）とサービスプロバイダ（SP）が開始したログインの両方においてマルチファクタ認証をサポートしています。

仕組み

IDプロバイダ開始（IDP）ログイン：

• IDPによって開始されたSSOでは、ユーザーはまずWindows Active Directoryドメインの資格情報を使用してADSelfService Plusにログインし、クラウドアプリケーションにアクセスする前にIDを証明します。
• 次に、ユーザーはDuo Security、RSA SecurID、スマートカード、RADIUS、SMS /電子メールベースの認証コード、またはGoogle Authenticatorを使用して自分自身を認証する必要があります。
• ログインに成功すると、ユーザーは[アカウントをリンク]タブからクラウドアプリケーションにアクセスできます。アプリケーションのアイコンをクリックして新しいタブを開くだけ利用可能です。ユーザーは自動的にアプリケーションにログインされています。

サービスプロバイダ（SP）によって開始されたログイン:

• SPによって開始されたSSOでは、ユーザーはまずブラウザにURLを直接入力してクラウドアプリケーションにアクセスします。次に、クラウドアプリケーションは、認証のためにユーザーをADSelfService Plusログインページにリダイレクトします。
• ユーザーは、自分のIDを証明するために、Active Directoryドメインの資格情報を入力する必要があります。
• 次に、ユーザーはDuo Security、RSA SecurID、スマートカード、RADIUS、SMS /電子メールベースの認証コード、またはGoogle Authenticatorを使用して自分自身を認証する必要があります。
• これでユーザーはSSO対応のクラウドアプリケーションに直接ログインできます。

総合的な一連の認証要因

ADSelfService Plusは、Windows Active Directoryドメインの資格情報を認証の第1要素として使用します。第2の要素として、ADSelfService Plusは、SMSや電子メールベースの認証コードのほか、Duo Security、RSA SecurID、RADIUSサーバー、Google Authenticatorなどのサードパーティ認証プロバイダなどの要素をサポートしています。

クラウドアプリケーションへのポリシーベースのアクセス

ADSelfService Plusシングルサインオンは、社内のActive DirectoryのOUおよびグループ構造に基づいて、クラウドアプリケーションのマルチファクタ認証を有効にするのに役立ちます。OUおよびグループベースのポリシーを設定することで、さまざまなユーザーのさまざまな認証要因をカスタマイズし、クラウドアプリケーションへのアクセスを制御することもできます。

主な機能