二要素認証(TFA) - Google Authenticatorのセットアップ

Google Authenticatorは、Google が開発したソフトウェアベースの認証トークンです。トークンは認証子を提供します。これは、ユーザーが認証の第二要素として入力する必要がある 6 桁の数字です。

スマートフォンまたはタブレット端末にGoogle Authenticatorアプリをインストールする必要があります。30秒ごとに変わる6桁の数字を生成します。このアプリを使うと、テキストメッセージを受け取るまで数秒を待つ必要がありません。ここでは、Google アカウントで Google Authenticatorアプリを設定して使用する方法と、他のいくつかの有名なサイトを紹介します。

イベントの順序

以下は、Google Authenticatorを第二要素として使用する際に関係する一連のイベントです:

  1. ユーザーは、PAM360 Webインターフェイスへのアクセスを試行します。
  2. PAM360は、Active DirectoryまたはLDAPあるいはローカルに(第一要素)ユーザーを認証します。
  3. PAM360は、Google Authenticatorから第二要素の認証情報を求めます。
  4. Google Authenticatorアプリの GUI に表示される 6 桁のトークンを入力します。
  5. PAM360は、Webインターフェイスへのユーザーアクセスを許可します。

必要な手順

  1. TFAのPAM360での構成
  2. 必要なユーザーに対する TFA の強制
  3. TFAをGoogle Authenticatorから有効にするときPAM360 Webインターフェイスに接続

1.TFAのPAM360での構成

  1. [管理] >> [認証] >> [二要素認証] に移動します。
  2. オプションGoogle Authenticatorを選択し、[保存]をクリックします。
    google-authenticator
  3. 次に、[確認]をクリックして、認証の第二要素として Google Authenticatorを適用します。

2.必要なユーザーに対する TFA の強制

  1. 前の手順でGoogle Authenticatorを認証の第二要素として確認したら、新しいウインドウが表示され、TFAの実行が必要なユーザーを選択するよう求められます。
  2. ここから、単一ユーザーまたは複数のユーザーに対して TFA を一括で有効または無効にできます。単一ユーザーに対して TFA を有効にするには、それぞれのユーザー名の横にある [有効にする] ボタンをクリックします。複数ユーザーの場合は、必要なユーザー名を選択し、ユーザーリスト上部の[有効化]をクリックします。同様に、ここから TFA を[無効]にすることもできます。
    google-authenticator
  3. [ユーザー] >> [他の操作] >> [二要素認証]の順に移動して、ユーザーを後で選択することもできます。

3.TFAをGoogle Authenticatorから有効にするときPAM360 Webインターフェイスに接続

条件

認証の第二要素として google authenticatorを使用するには、まずスマートフォンまたはタブレットに Google Authenticatorアプリをインストールする必要があります。Google は、Android、iPhone、iPad、iPod Touch、BlackBerry デバイスを正式にサポートしています。Google Authenticatorアプリをインストールする詳細な手順は、Google の Web サイトで参照できます。

PAM360 Webインターフェイスに接続

TFA が有効になっているユーザーは、連続して 2 回認証する必要があります。上で説明したように、最初のレベルの認証は通常の認証によって行われます。すなわち、ユーザーは、PAM360のローカル認証またはAD/Azure AD/LDAP認証から、認証する必要があります。管理者がTFAオプション"Google Authenticator"を選択すると、TFAは下に記載のようになります:

  1. PAM360 Webインターフェイスを起動すると、ユーザーは、ユーザー名とローカル認証を入力するか、Azure AD/AD/LDAPパスワードを入力して、PAM360にログインし、[ログイン]をクリックします。
  2. Google AuthenticatorをPAM360のアカウントと関連づける:TFAをGoogle Authenticatorから有効にした後、初めてログインする場合、PAM360のアカウントと関連づけるよう求められます。まず、モバイル デバイス/タブレットで Google Authenticatorアプリを起動し、[+]ボタンを選択する必要があります。次に、[バーコードをスキャン]を選択し、以下の画像のような GUI に表示されるバーコードをデバイスに向けます。これで、Google Authenticatorが自動的に構成され、PAM360への認証コードの生成を開始します。
  3. これを完了すると、テキスト ボックスに認証用の現在のトークンを入力できます。

    注記:バーコードのスキャンに問題があった場合、自動セットアップは機能しません。または、デバイスの Google Authenticatorアプリで次の手動手順を実行することもできます:

  4. トークンに時間制限付きこれはアプリのデフォルト選択です)を選択します。
  5. PAM360アカウントにこの形式で識別子を入力します - PAM360:<your email id in PAM360>(例.PAM360:john@abc.com)。
  6. 英数字の文字列をキーとして入力し、[完了]を選択します。
  7. これで、Google Authenticatorがセットアップされ、<PAM360:user@mailid>に定期的にコードの生成を開始します。現在のコードを入力し、PAM360へのログインを続行します。

トラブルシューティングのヒント

前述のとおり、Google AuthenticatorがPAM360アカウントと関連づけられます。モバイルデバイス/タブレットを紛失した場合、またはお使いのデバイスで偶発的にGoogle Authenticatorアプリを削除した場合も、トークンを取得してPAM360にログインできます。そのようなシナリオでは、PAM360ログイン画面にあるリンク"Google Authenticatorの使用時にトラブルがありますか?"をクリックするだけです。また、PAM360ユーザー名とPAM360と関連づけられたメールアドレスの入力を求められます。Google Authenticatorを再度取得するための手順が表示されます。

高可用性を構成した場合:

TFAを有効にするときは必ず、またはTFAタイプを変更する(PhoneFactorまたはRSA SecurID、ワンタイムパスワード、RADIUSあるいはDuo)、および高可用性を構成した場合、PAM360セカンダリサーバーを一度再起動する必要があります。