二要素認証(TFA)のRSA SecurID出のセットアップ

RSA Authentication ManagerおよびRSA SecurID機器がお使いの環境にある場合、PAM360では、二要素認証(TFA)をRSA SecurIDでセットアップできます。 これで、RSA SecurIDの認証要素をログインのセキュリティで第2レイヤとして利用できます。

以下は、PAM360で、TFAをRSA SecurIDでセットアップする手順です:

  1. TFAのPAM360での構成
  2. RSA SecurIDのPAM360との統合
  3. 必要なユーザーに対する TFA の強制
  4. TFAが有効のときにPAM360のWebインターフェイスに接続

1.TFAのPAM360での構成

  1. [管理者] >> [認証] >> [二要素認証]の順に移動します。
  2. RSA SecurIDオプションを選択し、[保存]をクリックします。管理者がオンデマンド認証チェックボックスを選択して、RSAオンデマンド認証を有効にすることもできます。
    rsa-secur-id
  3. 次に、[確認]をクリックして、認証の第2要素としてRSA SecurID認証システムを適用します。

2.RSA SecurIDのPAM360との統合

下の手順にしたがって、RSA SecurIDをPAM360と統合できます:

  1. PAM360 ServerをRSA Authentication Managerでエージェントホストとして登録します。
  2. RSA認証マネージャ構成ファイルを生成するか、またはsdconf.recをRSAマネージャで生成します。sdconf.recを<PAM360_SERVER_HOME>\binディレクトリにコピーして貼り付けます。また、モードシークレットファイル(secureid)が存在する場合は、それをコピーして貼り付けるのでも可です。
  3. RSA Authentication API構成ファイル(rsa_api.properties)で、"RSA_AGENT_HOST"プロパティをPAM360のサーバーホスト名またはIPアドレスとして編集します。このファイルは、デフォルトのアプリケーションディレクトリ(<PAM360_SERVER_HOME>\bin)にあります。

メモ:PAM360の高可用性機能を使用している場合、セカンダリサーバーインストールでも上の手順を実行する必要があります。

PAM360ユーザーのRSA Authentication Managerへのマッピング:

第二要素認証を行う前に、RSAセキュリティコンソールを使って、すべての必要なPAM360ユーザーをRSA Authentication Managerに入力し、トークンを底に割り当て、適切なエージェントホストでアクティブ化します。

RSA Authentication Managerのユーザー名との対応するユーザー名が同じであることを確認します。既存のRSAユーザーでは、PAM360とRSA Authentication Managerとの間でユーザー名が不一致する場合、ユーザープロパティの追加をPAM360で編集して、PAM360に正しいユーザー名をマッピングすることができます。
例えば、ユーザーを名前'ZYLKER\rob'でDirectoryからPAM360とRSA Authentication Managerにインポートした場合、ユーザー名は'rob'として記録され、不一致が生じます。これを避けるため、PAM360でユーザー名を編集し、名前'ZYLKER\rob'が'rob'にマッピング)を取得します

以下のシーケンスは、PAM360とRSA SecurIDとの間の認証プロセスを説明しています:

  1. ユーザーがPAM360に初めてアクセスする場合、認証はActiveDirectoryまたはLDAPあるいはローカルに時刻されます。
  2. PAM360は、ユーザーにユーザー名とRSA SecurIDパスコードを求めます。これらは両方とも、RSA Authentication ManagerにRSA Runtime API経由で送信されます。
  3. 続いて、RSA Authentication Managerがユーザーを認証し、PAM360にメッセージを返します。
  4. PAM360は、要求されたリソースにユーザーアクセス権を付与します。

3.必要なユーザーに対する TFA の強制

  1. RSA SecurIDが認証の第二要素として確認されたら、新しいポップアップウインドウで、TFAを実行する必要があるユーザーを選択するよう求められます。
  2. ここから、単一ユーザーまたは複数のユーザーに対して TFA を一括で有効または無効にできます。単一ユーザーにTFAを有効にするには、各ユーザー名の横の[有効化]ボタンをクリックします。複数のユーザーの場合は、必要なユーザー名を選択し、ユーザーリストの上部にある [有効化] をクリックします。同様に、ここからTFAを無効化することもできます。
    3. rsa-secur-id
  3. [ユーザー] >> [他の操作] >> [二要素認証]の順に移動して、後で、ユーザーを選択することもできます。

4.TFAが有効のときにPAM360のWebインターフェイスに接続

TFAがアカウントについて有効になっているユーザーは、ログイン中、2回連続で認証する必要があります。上記のとおり、認証の第一レベルは、PAM360のローカル認証またはAD/LDAP認証から行います。管理者が選択したTFAの種類によって、認証の第2レベルは下の説明のとおり、異なります:

  1. PAM360 Webインターフェイスを起動すると、ユーザーは、ユーザー名とローカル認証またはAD/LDAPパスワードを入力し、PAM360にログインして、[ログイン]をクリックする必要があります。
  2. RSAパスコードテキストフィールドで、RSA SecurIDパスコードを入力します。パスコードは、RSA認証マネージャで行った構成により、PINとトークンコードの組み合わせまたはトークンコードのみ、あるいはオンデマンドPINにできます。
  3. RSAオンデマンド認証を利用する場合、RSAオンデマンドを選択して、継続します。この場合、下のケース3で指定したとおり、オンデマンドトークンコードを乳六する必要があります。

4.1.RSA SecurIDを使ってPAM360にログインする場合、異なる3つのシナリオが可能です

ケース1:ユーザー生成/システム作成のPINの入力

上記のとおり、RSAパスコードは、RSA認証マネージャで行った構成により、PINとトークンコードの組み合わせまたはトークンコードのみ、あるいはパスワードにできます。RSAセキュリティコンソールの設定でユーザーが各自でPINの作成を求められる、またはシステム生成のPINの使用を求められる場合、手順2の後で(すなわち、最初のパスワードの入力後と、RSAトークンコードでPAM360にログイン後)、ユーザーに以下のオプションが表示されます。

ユーザー作成のPIN:

ユーザー作成のPINの場合、ユーザーは、各自PINを入力するオプションがあります。PINには数値、文字 - 最小4および最大8文字含まれている必要があります。PINの入力後、ユーザーは、RSAトークンコードが新しい値に変更されるまで、しばらく待つ必要があります。続いて、次の画面で、新しいPINとRSAトークンコードを入力して認証します。

システム作成のPIN:

システム作成のPINの場合、PAM360自体が任意にPINを生成し、それが画面に表示されます。ユーザーはその新しいPINをメモし、RSAトークンコードが新しい値に変更されるまでしばらく待ちます。続いて、次の画面で、システムが生成した新しいPINとRSAトークンコードを入力して認証します。

ケース2:新しいトークンコードモード

ユーザーが任意のRSAパスコードを使って、または推測で特定回数PAM360にログインしようとする場合、RSA Authentication Managerは、画面を新しいトークンコードモードに切り替え、ユーザーがトークンを所有しているかを確認します。その場合、PAM360は、ログイン中、次のトークンコードを求めます。これは、RSAデバイスが新しいトークンコードと新しいコードを表示して、PAM360へのログインに進むまで、ユーザーは待機する必要があるということです。

メモ:ユーザーが入力した新しいトークンコードが間違っている場合、PAM360は、初回ログイン画面に戻ります。ユーザーは、ユーザー名を入力して、再開する必要があります。

ケース3:トークンコードモード

RSA On-Demand authenticatorが構成されている場合、トークンコードを入力してPAM360にログインする必要があります。トークンコードは、RSAオンデマンド認証システムで構成したとおり、登録したメールidまたは携帯電話番号に送信されます。

注記:高可用性を構成している場合、TFAを有効にする、またはTFAサービスタイプを変更するには、PAM360セカンダリサービスを再起動して有効にする必要があります。