二要素認証(TFA) - ワンタイムパスワード

このオプションを選択すると、通常の認証の第一レベルの後、PAM360は、任意に一意のパスワードを生成し、ユーザーにメール送信します。ユーザーは、メールが送信したパスワードを入力して、第二レベル認証を行います。PAM360が生成および送信する第二レベルパスワードは、Webインターフェイスのその特定セッションにのみ適用されます。ユーザーがログアウトし、再ログインした場合、前回メールが送信した同じパスワードでログインすることはできなくなります。ユーザーは、もう一度メール送信のパスワードを取り込み、それを入力して認証する必要があります。

PAM360でのワンタイムパスワードの構成には、以下の手順があります:

  1. TFAのPAM360での構成
  2. 必要なユーザーに対する TFA の強制
  3. TFAが有効のときにPAM360 Webインターフェイスに接続

1.TFAのPAM360での構成

  1. [管理] >> [認証] >> [二要素認証] に移動します。
  2. オプションメールが送信したワンタイムパスワードを選択します。
  3. [保存]をクリックします。
    two-factor-authentication-unique-password
  4. 次に、[確認]をクリックして、認証の第二要素として、メールからOTPを実行します。

2.必要なユーザーに対する TFA の強制

  1. 前の手順で、メールからOTPを第二要素として確認すると、新しいウインドウで二要素認証の実行が必要なユーザーを選択するようプロンプト要求されます。
  2. 単一ユーザーまたは複数ユーザーは一括で、二要素認証を有効または無効にできます。単一ユーザーに二要素認証を有効にするには、各ユーザー名の横にある[有効化]ボタンをクリックします。複数ユーザーの場合は、必要なユーザー名を選択し、ユーザーリスト上部の[有効化]をクリックします。同様に、ここからTFAを無効化することもできます。
    two-factor-authentication-unique-password
  3. [ユーザー] >> [他の操作] >> [二要素認証]の順に移動して、ユーザーを後で選択することもできます。

3.TFAが有効のときにPAM360 Webインターフェイスに接続

二要素認証が有効なユーザーは、認証を2回正常に行う必要があります。上で説明したように、最初のレベルの認証は通常の認証によって行われます。すなわち、ユーザーは、PAM360のローカル認証またはAD/LDAP/Azure AD認証から、認証する必要があります。管理者がTFAオプションメールが送信したワンタイムパスワードを選択した場合、二要素認証は下に記載のようになります:

  1. PAM360 Webインターフェイスを起動すると、ユーザーは、ユーザー名とローカル認証またはAD/LDAP/Azure ADを入力し、PAM360にログインして、[ログイン]をクリックする必要があります。
  2. 認証の第一レベルが成功すると、PAM360は、任意にパスワードを生成し、ユーザーにメール送信します。
  3. ユーザーは、メールからパスワードを取り込み、第二パスワードとして入力する必要があります。
  4. 第二認証が成功すると、ユーザーは、PAM360 Webインターフェイスを表示できるようになります。

メモ:PAM360が生成および送信する第二レベルパスワードは、Webインターフェイスのその特定セッションにのみ適用されます。ユーザーがログアウトし、再ログインした場合、前回メールが送信した同じパスワードでログインすることはできなくなります。ユーザーがもう一度ログインすると、別の新しいパスワードがそのメールに送信され、それを使って認証する必要があります。

高可用性を構成している場合:

TFAを有効にするか、TFAの種類(PhoneFactor、RSA SecurID、ワンタイムパスワード、RADIUS、またはDuo)を変更するたびに、さらに高可用性を構成している場合は、PAM360セカンダリサーバーを一度再起動する必要があります。