二要素認証(TFA)のセットアップ - PhoneFactor Authenticator
ManageEngineは、電話機ベースのTFAの大手グルーバルパートナーであるPhoneFactorとの連携により、PAM360に簡単で効果的な二要素セキュリティを可能にしました。ManageEngine は PhoneFactor Alliance パートナーであり、PhoneFactor の認証サービスとのシームレスな統合を提供します。
PhoneFactor は、ログイン プロセス中に電話に確認の電話をかけることで機能します。通常の方法で最初の認証を完了し、2 番目の認証段階に進むときは、電話に出て # を押す (または PIN を入力する) だけで、電話ベースの認証として機能します。
このドキュメントでは次のトピックについて説明します。
- PhoneFactorはPAM360でどのように機能しますか?
- イベントの順序
- PhoneFactor認証の有効化
- 3.1 前提条件
- 3.2 TFAのPAM360でのセットアップ
- 3.3 PhoneFactor認証のタイプを決める
- 3.3.1 PhoneFactorエージェントの構成
- 3.3.2 PhoneFactor Direct SDKでの構成
- 3.4 必要なユーザーに対する TFA の実行
- PhoneFactorでTFA有効時のPAM360 Webインターフェイスへの接続
- ワークフロー
1.PhoneFactorはPAM360でどのように機能しますか?
ユーザーの電話番号を指定すると、ユーザーがその対応する電話番号にマッピングされます。PhoneFactor エージェント モードでは、電話番号を含むユーザーに関する詳細がエージェントに保持されます。Direct SDKモードでは、電話番号はPAM360データベース自体に保存されます。ユーザーがPAM360にログインしようとすると、, PhoneFactorは、各ユーザーの電話番号を検索し、通話を発信します。
2.イベントの順序
3.PhoneFactor認証の有効化
3.1 前提条件
PhoneFactor 認証を有効にする前に、PhoneFactor を購入する必要があります。詳細については、PhoneFactor Web サイトを参照してください。PhoneFactor を取得した後、環境に PhoneFactor エージェントをインストールするか、PhoneFactor Direct SDK を展開するかなど、特定の認証方法を決定する必要があります。
3.2 TFAのPAM360でのセットアップ
- [管理] >> [認証] >> [二要素認証] に移動します。
- PhoneFactor オプションを選択します。
- [保存]をクリックします。
メモ:先に進む前に、TFAをPAM360のPhoneFactorで有効にするすべてのユーザーの電話番号を入力したことを確認します。PhoneFactor 認証の主連絡先番号として、固定電話番号または携帯電話番号を入力できます。
3.3 PhoneFactor認証のタイプを決める
PhoneFactor Agent または PhoneFactor Direct SDK をデプロイすることを選択できます。
3.3.1 PhoneFactorエージェントの構成
PhoneFactor エージェントは、ネットワーク内の Windows サーバー上で実行されます。ここには、PAM360をPhoneFactorで安全確保するセットアッププロセスに案内する構成ウィザードが含まれます。PhoneFactor エージェントは、既存の Active Directory または LDAP サーバーと統合して、一元的なユーザー プロビジョニングと管理を行うこともできます。すべてのユーザー データは、セキュリティを強化するために企業ネットワーク内に保存されます。レポートと監査のために広範なログを利用できます。
PhoneFactor Agent と Web Services SDK を入手して、ネットワーク内の Windows サーバーにインストールします。ウィザードの指示に従ってインストール プロセスを進めます。
1.PhoneFactor出の構成
メモ:PhoneFactorエージェントをすでにインストールしている場合は、この手順をスキップして、直接、手順2に進みます。
- エージェントのインストール後、すべてのPAM360ユーザーgとその電話番号(PhoneFactorエージェントに保管されている)がPAM360に追加されていることを確認します。Active Directory / LDAP を PhoneFactor エージェントと統合し、ユーザーを自動的にインポートすることもできます。ユーザーをPAM360のローカル認証で認証した場合、PhoneFactorにそれらを追加して、電話番号についての詳細を手動で入力します。
- ユーザーをPhoneFactorエージェントのに追加するとき、PAM360にあるのと同じユーザー名を入力する点に注意してください。(PAM360では、PhoneFactorが認証するユーザーに「PhoneFactorユーザー名」を入力したものとします。PhoneFactor エージェント設定で同じユーザー名をここに入力するように注意してください)
- ユーザーのインポート後、電話番号が正しい形式で入力されているかチェックします。
重要な注記:ユーザー情報とその電話番号は PhoneFactor エージェントで維持されます。つまり、ユーザーはエージェントで指定された電話番号でのみ通話を受信します。電話番号を変更したい場合は、必ずエージェントで変更手続きを行ってください。同様に、新しいユーザーをPAM360に追加する場合、およびTFA through をPhoneFactorから有効にする場合、PhoneFactorエージェントにもユーザーを追加する必要があります。そうしないと、PhoneFactor を介した TFA が機能しません。
2.PAM360での構成
- PAM360, の二要素認証コンソールで、認証方法としてPhoneFactorエージェントを選択します。
- PhoneFactor にアクセスするための認証情報を入力します。ユーザー名、パスワード、および PhoneFactor エージェントが実行されているホストの URL を入力する必要があります
- PAM360と、PhoneFactorエージェントが実行されているホストとの間の通信は、SSLで行われます。そのため、(PAM360に)Web Services SDKのインストール中に指定した)SSL証明書をインポートする必要があります。
PhoneFactor エージェント/Web サービス SDK のインストール中に、自己署名 SSL 証明書を作成するか、すでに利用可能な内部証明書 (独自の証明書) を使用することになります。ここでは、PAM360で、 CAのルートをインポートする必要があります。サードパーティCAが署名した証明書を使用している場合は、,この手順をスキップできます。
PAM360高可用性を構成している場合、PAM360セカンダリサーバーの構成:(PhoneFactorエージェントモード)
PAM360で高可用性を構成しており、PhoneFactorエージェントを展開することを選択した場合、PAM360セカンダリサーバーで以下の構成を行う必要があります。以下に説明するように、CAのルートをインポートしたのと同様に、PAM360セカンダリサーバーでも同じことを行う必要があります。サードパーティCAによって署名された証明書を使用している場合は、この手順を省略できます。
CAのルートをインポートする手順:
- PAM360_Installation_Folder>/binディレクトリに移動します
- importPhoneFactorCert.bat(Windowsの場合)またはimportPhoneFactorCert.sh(Linuxの場合)を 以下のとおり実行します
(Windowsの場合)
自己署名証明書の場合
importPhoneFactorCert.bat <自己署名証明書の絶対パス>
独自の証明書またはすでに利用可能な内部 CA の場合
importPhoneFactorCert.bat <CA のルートの絶対パス>
(Linuxの場合)
自己署名証明書の場合
sh importPhoneFactorCert.sh <自己署名証明書の絶対パス>
独自の証明書またはすでに利用可能な内部 CA の場合
sh importPhoneFactorCert.sh <CA のルートの絶対パス>
- PAM360 Serverを再起動
- 上記を実行したら、CAがPAM360に記録されます。今後、特定の CA によって署名されたすべての証明書が自動的に取得されます。
- 手順3に進む - PAM360で必要なユーザーに二要素認証を実行します。
メモ:エンタープライズネットワークセットアップには、プロキシサーバー経由でインターネットに接続する必要があるため、PAM360は、PhoneFactor Webサイトに接続します。([PAM360コンソール] >> [管理者] >> [全般] >> [プロキシサーバー設定])
3.3.2 PhoneFactor Direct SDKでの構成
エージェントを使用する代わりに、PhoneFactor Direct SDKを使用することもできます。これは、PAM360との統合に使用でき、PAM360の既存のユーザーデータベースを利用します。
1.SDKでの設定
PhoneFactor jarsは、PAM360とバンドルされています。したがって、PhoneFactor を購入し、以下の手順 2 で説明するようにライセンスの詳細を入力すれば十分です。
2.PAM360での構成
i. TFAをPhoneFactorからPAM360で有効にするすべてのユーザーの電話番号を含めます。電話番号は適切な形式で入力する必要があります。ユーザーの電話番号がエージェントに記録および保存されるPhoneFactorエージェントは対照的に、Direct SDK,の場合、電話番号はPAM360自体に保存されます。
ii.PhoneFactorコンソールで、PhoneFactorライセンスファイルのパス、PhoneFactor証明書および秘密鍵パスワードを指定します。(これらのファイルは PhoneFactor SDK フォルダーの下に存在します。)
iii.手順3に進む - PAM360で必要なユーザーに二要素認証を実行します。
メモ:エンタープライズネットワークセットアップには、プロキシサーバー経由でインターネットに接続する必要があるため、PAM360は、PhoneFactor Webサイトに接続します。([PAM360コンソール] >> [管理者] >> [全般] >> [プロキシサーバー設定])
PAM360高可用性を構成した場合、PAM360セカンダリの構成:(PhoneFactor Direct SDKモード)
PAM360で高可用性を構成し、また、PhoneFactor Direct SDKモードを選択した場合、PAM360セカンダリサーバーで以下の構成を実行します:
- <PAM360-Primary-Installation>/licensesフォルダに進みます。
- ファイルlicense.xmlとcert.p12をコピーします。
- 続いて、<PAM360-Secondary-Installation>/licensesフォルダに進みます。
- 2つのファイルを貼り付けます。
3.4 必要なユーザーに対するTFAの強制
- PhoneFactor Authenticatorを前の手順で、認証の第二要素として確認したら、新しいウインドウが開き、TFAを実行するユーザーを選択するよう求められます。
- ここから、単一ユーザーまたは複数のユーザーに対してTFA を一括で有効または無効にします。単一ユーザーにTFAを有効にするには、各ユーザー名の横の[有効化]ボタンをクリックします。複数ユーザーの場合は、必要なユーザー名を選択し、ユーザーリスト上部の[有効化]をクリックします。同様に、ここからTFAを無効化することもできます。
- [ユーザー] >> [他の操作] >> [二要素認証]の順に移動して、ユーザーを後で選択することもできます。
4.PhoneFactorでTFA有効時のPAM360 Webインターフェイスへの接続
- TFA が有効になっているユーザーは、連続して 2 回認証する必要があります。上で説明したように、最初のレベルの認証は通常の認証によって行われます。すなわち、ユーザーは、PAM360のローカル認証またはAD/LDAP認証から認証する必要があります。
- TFA が有効になっている場合、ログイン画面の最初の UI ではユーザー名のみが要求されます。ユーザーは 2 番目の手順でのみパスワードの入力を求められます。
5.ワークフロー(PhoneFactorを使ったTFA)
管理者がTFAオプションPhoneFactor AuthenticatorからTFAを選択すると、TFAは下に記載のようになります:
- PAM360 Webインターフェイスを起動すると、ユーザーは、ユーザー名を入力し、PAM360にログインして、[ログイン]をクリックする必要があります。
- テキストフィールドパスワードで、ユーザーは、ローカル認証パスワードまたはAD/LDAPパスワード(ある場合)を入力する必要があります。
- 最初の要素による認証が成功したら、PhoneFactor から電話への呼び出しを待つ必要があります
- 電話に応答し、# キーを押すか、指示に従って PIN を入力します。PhoneFactor が認証を処理します。
高可用性を構成している場合:
TFAを有効にするか、TFAの種類(PhoneFactor、RSA SecurID、またはワンタイムパスワード)を変更するたびに、さらに高可用性を構成している場合は、PAM360セカンダリサーバーを一度再起動する必要があります。