二要素認証のセットアップ(TFA) - Duo Security
二要素認証または多要素認証は、お使いの赤君とを保護するために提供されるセキュリティの特別層です。Duo Securityは、お使いのアカウントにセキュアアクセスできるクラウドベースの多要素認証です。Duo Securityでは、PAM360を二要素認証と統合できます。
本書では、次のトピックについて説明します:
- PAM360の構成 - Duo Security統合
- TFAのPAM360での構成
- 必要なユーザーに対する TFA の強制
- TFAが有効のときにPAM360 Webインターフェイスに接続
- ログイン中に登録
1.PAM360の構成 - Duo Security統合
お使いの環境にDuoアプリケーションがある場合、PAM360と統合して、Duo security認証を認証の第二レベルとして利用することができます。このセクションでは、関係する構成について説明します:
- Duoアカウントにサインアップします。
- Duo管理者パネルにログインし、新しいアプリケーションを追加します。
- [アプリケーションを保護]ボタンをクリックします。[アプリケーションを保護]ページに、Duoで保護できるアプリケーションが一覧表示されます。
- Web SDKを検索し、[このアプリケーションを保護]をクリックして、必要なフィールドに入力し、保存します。
- 保存中、PAM360 GUIに記載 (下の手順2)の統合キー、秘密鍵とAPIホスト名をメモします。
- Duoでユーザーを登録し、認証を開始します。
2.TFAのPAM360での構成
- [管理者] >> [認証] >> [二要素認証]の順に移動します。
- 開いたUIで、[Duo Security]を選択します。
- 手順1でメモした以下の詳細を入力します、
- 統合キー
- 秘密キー
- APIホスト名
- [保存]をクリックします。
- [確認]をクリックして、Duo Securityを認証の第二要素として実行します。
3.必要なユーザーに対する TFA の強制
- 前の手順でDuo Securityを認証の第二要素として確認すると、新しいウインドウで二要素認証の実行が必要なユーザーを選択するようプロンプト要求されます。
- 単一ユーザーまたは複数ユーザーは一括で、二要素認証を有効または無効にできます。単一ユーザーに二要素認証を有効にするには、各ユーザー名の横にある[有効化]ボタンをクリックします。複数ユーザーの場合は、必要なユーザー名を選択し、ユーザーリスト上部の[有効化]をクリックします。同様に、ここから、二要素認証を[無効化]することもできます。
- [ユーザー] >> [他の操作] >> [二要素認証]の順に移動して、ユーザーを後で選択することもできます。
4.TFAが有効のときにPAM360 Webインターフェイスに接続
二要素認証が有効なユーザーは、認証を2回正常に行う必要があります。上で説明したように、最初のレベルの認証は通常の認証によって行われます。すなわち、ユーザーは、PAM360のローカル認証またはAD/LDAP認証から認証する必要があります。管理者が選択したTFAの種類によって、認証の第2レベルは下の説明のとおり、異なります:
- PAM360 Webインターフェイスを起動すると、ユーザーは、ユーザー名とローカル認証またはAD/LDAPパスワードを入力し、PAM360にログインして、[ログイン]をクリックする必要があります。
- 認証の第一レベルが成功すると、PAM360は、Duoが提供する3つのオプションから認証方法を選択するようプロンプトで求めてきます。
- Duoプッシュを認証方法として選択することができます。
メモ:一括編集操作をすると、選択したリソースの現在のパスワードリセット構成(ある場合)が上書きされます。
5.ログイン中に登録
- ログインページで[セットアップを開始]をクリックします。
- 追加している機器の種類を選択し、電話番号を入力します。
- お使いの電話機に送信されたQRコードをスキャンして、電話番号を検証します。
- 認証に成功したら、[続行]をクリックします。
高可用性を構成した場合:
TFAを有効にするときは必ず、またはTFAタイプを変更する(PhoneFactorまたはRSA SecurID、ワンタイムパスワード、RADIUSあるいはDuo)、および高可用性を構成した場合、PAM360セカンダリサーバーを一度再起動する必要があります。