2段階認証の設定 - PhoneFactor認証
(Premium EditionおよびEnterprise Editionでのみ利用可能な機能)

ManageEngineは、電話ベースの2段階認証の世界的大手プロバイダーである PhoneFactor と提携して、Password Manager Proのシンプルで効果的な2段階のセキュリティを実現しました。ManageEngineはPhoneFactor Alliance パートナーであり、PhoneFactorの認証サービスとシームレスに統合できます。

PhoneFactorは、ログインプロセス中に自身の電話に確認の電話をかけることで機能します。通常の方法で最初の認証を完了後、2段階目の認証に進む際に、電話に応答して # を押す(またはPINを入力する)だけで、電話ベースの認証として機能します。

以下は、PhoneFactor認証に関連する一連のイベントです。

    1. ユーザーがPassword Manager ProのWebインターフェースにアクセスしようとします
    2. Password Manager Proは、Active DirectoryまたはLDAPを通じて、またはローカルでユーザーを認証します
    3. Password Manager Proは、PhoneFactorを通じて2段階認証の情報の入力を求めます
    4. PhoneFactorから電話があります。電話に応答して # を押します(またはPINを入力します)
    5. Password Manager Proは、ユーザーにWebインターフェースへのアクセスを許可します

1.PhoneFactor認証の有効化

前提条件

PhoneFactor認証を有効にする前に、PhoneFactorを購入する必要があります。詳細については、PhoneFactorのWebサイトを参照してください。PhoneFactorを取得した後、特定の認証方法(環境にPhoneFactorエージェントをインストールするか、PhoneFactor Direct SDKを展開するか)を決定する必要があります。

phone-factor-authentication

2.PhoneFactorはPassword Manager Proとどのように連携しますか?

ユーザーの電話番号を指定すると、ユーザーがその対応する電話番号にマッピングされます。PhoneFactorエージェントモードでは、電話番号を含むユーザーに関する詳細がエージェントに保持されます。Direct SDKモードでは、電話番号はPassword Manager Proデータベース自体に保持されます。ユーザーがPassword Manager Proにログインしようとする際に、PhoneFactorは各ユーザーの電話番号を見つけて電話を発信します。

PhoneFactorを使用して2段階認証を有効にするには、以下に詳述する手順に従う必要があります。

手順のまとめ

    1. Password Manager Proでの2段階認証の設定
    2. PhoneFactor認証方法と関連する設定の決定
    3. Password Manager Proで必要なユーザーに2段階認証を強制する

ステップ1:Password Manager Proでの2段階認証の設定

最初のステップは、2段階認証を有効化することです。手順は以下の通りです。

    1. [管理] >> [認証] >> [2段階認証] に移動します。
    2. [PhoneFactor] オプションを選択します。
    3. [保存]をクリックします。

注記: 先に進む前に、Password Manager ProでPhoneFactorを使用して2段階認証を有効にする、すべてのユーザーの電話番号を入力していることを確認してください。PhoneFactor認証の主連絡先番号として、固定電話番号または携帯電話番号を入力できます。

固定電話番号は次の形式で入力する必要があります。

<国番号> <市外局番付きの電話番号> <内線番号(ある場合)>

例:1 9259249500 292

携帯電話番号は次の形式で入力する必要があります。

<国番号> <携帯電話番号>

ステップ2:認証方法を選択

PhoneFactor AgentまたはPhoneFactor Direct SDKを選択できます。

    PhoneFactorエージェント

    PhoneFactorエージェントは、ネットワーク内のWindowsサーバー上で実行されます。これには、PhoneFactorを使用してPassword Manager Proを保護するためのセットアッププロセスを進める設定ウィザードが含まれています。PhoneFactorエージェントは、既存のActive DirectoryまたはLDAPサーバーと統合して、一元的なユーザープロビジョニングと管理を行うこともできます。すべてのユーザーデータは、セキュリティを強化するために企業ネットワーク内に保存されます。レポートと監査のために広範なログを利用できます。

    Direct SDK

    エージェントを使用する代わりに、PhoneFactor Direct SDKを使用することもできます。これはPassword Manager Proと連携して使用でき、Password Manager Proの既存のユーザーデータベースを活用します。

    注記:上記の選択肢のうち、PhoneFactorエージェントでは、PhoneFactorからの電話に応答する際の認証において、PINの入力が可能です。Direct SDKモードでは、ユーザーはPINではなく#キーの入力を求められます。

PhoneFactorエージェントの導入を選択した場合

(注記:PhoneFactorエージェントをすでにインストールしている場合は、以下のステップ1をスキップして、直接ステップ2に進むことができます。)

PhoneFactorエージェントとWeb Services SDKを入手して、ネットワーク内のWindowsサーバーにインストールします。ウィザードの指示に従ってインストールプロセスを進めます。

phone-factor-authentication1

ステップ1:PhoneFactorエージェントの設定

  • ユーザーの電話番号はPhoneFactorエージェントで管理されるため、エージェントをインストールした後、すべてのPassword Manager Proのユーザー(Password Manager ProでPhoneFactorによる2段階認証が有効になっているユーザー)をエージェントに追加し、その電話番号も入力する必要があります。Active Directory / LDAPをPhoneFactorエージェントと統合し、ユーザーを自動的にインポートすることもできます。Password Manager Proのローカル認証を通じて認証されたユーザーがいる場合は、そのユーザーをPhoneFactorに手動で追加し、電話番号に関する情報を提供します。
  • PhoneFactorエージェントにユーザーを追加するときは、Password Manager Proで使用されているものと同じユーザー名を指定するように注意してください。(Password Manager Proでは、PhoneFactorによって認証されるユーザーに[PhoneFactorのユーザー名]を指定します。PhoneFactorエージェント設定で同じユーザー名を入力するように注意してください)
  • ユーザーをインポートした後、電話番号が正しい形式で入力されているかどうかを確認してください。

重要な注記:ユーザー情報とその電話番号はPhoneFactorエージェントで維持されます。つまり、ユーザーはエージェントで指定された電話番号でのみ通話を受信します。電話番号を変更したい場合は、必ずエージェントで変更手続きを行ってください。同様に、新しいユーザーをPassword Manager Proに追加する場合、そのユーザーに対してPhoneFactorによる2段階認識が有効になっている場合は、そのユーザーをPhoneFactorエージェントにも追加する必要があります。そうしないと、PhoneFactorを介した2段階認識が機能しません。

ステップ2:Password Manager Proの設定

  • Password Manager Proの2段階認証GUIで、認証方法として[PhoneFactorエージェント]を選択します。
  • PhoneFactorにアクセスするための認証情報を入力します。ユーザー名、パスワード、およびPhoneFactorエージェントが実行されているホストのURLを入力する必要があります。
  • Password Manager ProとPhoneFactorエージェントが実行されているホスト間の通信は、SSLを通じて行われます。したがって、Web Services SDKのインストール時に指定したSSL証明書を(Password Manager Proに)インポートする必要があります。

PhoneFactorエージェント/Web Services SDKのインストール中に、自己署名SSL証明書を作成するか、すでに内部にある証明書(独自の証明書)を使用することになります。ここで、Password Manager ProでCAのルートをインポートする必要があります。サードパーティCAによって署名された証明書を使用している場合は、この手順をスキップできます。

CAのルートをインポートする手順は以下の通りです。

  1. [PMP_Installation_Folder>/bin] ディレクトリに移動します。
  2. 以下のようにimportPhoneFactorCert.bat (Windows の場合) または importPhoneFactorCert.sh (Linux の場合) を実行します。

    3. (Windowsの場合)

    自己署名証明書の場合

    importPhoneFactorCert.bat <自己署名証明書の絶対パス>

    独自の証明書またはすでに内部にあるCAの場合

    importPhoneFactorCert.bat <CAのルートの絶対パス>

    (Linuxの場合)

    自己署名証明書の場合

    sh importPhoneFactorCert.sh <自己署名証明書の絶対パス>

    独自の証明書またはすでに内部にあるCAの場合

    sh importPhoneFactorCert.sh <CAのルートの絶対パス>

  3. Password Manager Proサーバーを再起動します。
  4. 上記を実行すると、CAのルートがPassword Manager Proに記録されます。今後、該当のCAによって署名されたすべての証明書が自動的に取得されます。
  5. [ステップ 3 - Password Manager Proで必要なユーザーに2段階認証を強制する]に進みます。

注記: 企業ネットワークの設定でプロキシサーバー経由でインターネットに接続する必要がある場合は、Password Manager ProがPhoneFactor Webサイトに接続できるようにプロキシ設定を構成する必要があります。(PMP GUI >> 管理 >> セットアップ >> プロキシサーバー設定)

Password Manager Proで高可用性を設定している場合:Password Manager Pro Secondaryの設定(PhoneFactorエージェントモード)

Password Manager Proで高可用性を設定し、PhoneFactorエージェントを展開することを選択した場合は、Password Manager Proのセカンダリサーバーで次の設定を行う必要があります。上での説明の通りCAのルートをインポートしたのと同様に、Password Manager Proのセカンダリでも同じことを行う必要があります。サードパーティCAによって署名された証明書を使用している場合は、この手順をスキップできます。

PhoneFactor Direct SDKの展開を選択した場合:

ステップ1:SDKでの設定

    PhoneFactor jarはPassword Manager Proにバンドルされています。したがって、PhoneFactorを購入し、以下のステップ2で説明するようにライセンスの詳細を入力すれば十分です。

ステップ2:Password Manager ProのGUIでの設定

phone-factor-authentication2
  • Password Manager Proユーザーを確認し、Password Manager ProのPhoneFactorでの2段階認証を有効にしたいすべてのユーザーの電話番号を入力していることを確認します。電話番号は適切な形式で入力する必要があります。ユーザーの電話番号がエージェントで記録および維持されるPhoneFactorエージェントとは対照的に、Direct SDKの場合、電話番号はPassword Manager Pro自体で維持されます。
  • PhoneFactor GUIでは、PhoneFactorライセンスファイルのパス、PhoneFactor証明書、および秘密鍵のパスワードを指定する必要があります。(これらのファイルはPhoneFactor SDKフォルダー内に存在します)。
  • [ステップ 3 - Password Manager Proで必要なユーザーに2段階認証を強制する]に進みます。

注記:企業ネットワークの設定でプロキシサーバー経由でインターネットに接続する必要がある場合は、Password Manager ProがPhoneFactor Webサイトに接続できるようにプロキシ設定を構成する必要があります。(PMP GUI >> 管理 >> 一般 >> プロキシサーバー設定)

Password Manager ProでHA構成を行っている場合: Password Manager Proセカンダリの構成 (PhoneFactor Direct SDK モード)

Password Manager ProでHA構成行い、PhoneFactor Direct SDKモードを選択した場合は、Password Manager Pro セカンダリサーバーで次の設定を行う必要があります。

  • <PMP-Primary-Installation>/licenses フォルダに移動します。
  • ファイル license.xml と cert.p12 をコピーします。
  • 次に、<PMP-Secondary-Installation>/licenses フォルダに移動します。
  • これら2つのファイルを貼り付けます。

ステップ3:Password Manager Proで必要なユーザーに2段階認証を強制する

  1. 上記のステップで、認証の2段階目としてPhoneFactorを選択すると、新規ウィンドウが表示され、2段階認証を強制するユーザーを選択するように求められます。
  2. ここから単一ユーザー、または複数のユーザーに一括で2段階認証を有効化、または無効化できます。単一ユーザーに対して2段階認証を有効化するには、各ユーザー名の横にある[有効化]ボタンをクリックします。複数のユーザーの場合は、該当のユーザー名を選択し、ユーザー一覧の上部にある [有効化] をクリックします。同様に、ここから2段階認証を[無効化]することもできます。
    tfa-phone-factor
  • [ユーザー] >> [その他の操作] >> [2段階認証を設定] に移動して、後でユーザーを選択することもできます。

PhoneFactorによる2段階認証が有効になっている場合、Password Manager Pro Webインターフェースに接続するにはどうすればよいですか?

2段階認証が有効になっているユーザーは、連続して2回認証する必要があります。上で説明したように、最初の段階の認証は通常の認証によって行われます。つまり、ユーザーはPassword Manager Proのローカル認証、またはAD/LDAP認証を通じて認証する必要があります。

2段階認証が有効になっている場合、ログイン画面の最初のUIではユーザー名のみが要求されます。ユーザーは2番目のステップでのみパスワードの入力を求められます。

PhoneFactorを使用した2段階認証 - ワークフロー

管理者がphoneFactorでの2段階認証を選択した場合、以下に詳述するように2段階認証が行われます。

  • Password Manager Pro Webインターフェースを起動する際、ユーザーはPassword Manager Proにログインするためのユーザー名を入力し、[Login]をクリックする必要があります。
  • ユーザーは[Password]フィールドに、ローカル認証パスワードまたはAD/LDAPパスワードを必要に応じて入力する必要があります。
    • TFA-PF
    PF-enabled
  • 最初の要素による認証が成功したら、PhoneFactorから電話への呼び出しを待つ必要があります。
  • 電話に応答し、#キーを押すか、指示に従ってPINを入力します。PhoneFactorが認証を処理します。

HA構成を設定している場合

2段階認証を有効にした場合、または 2段階認証の種類 (PhoneFactor、RSA SecurID、またはワンタイムパスワード) を変更した場合、およびHA構成を設定している場合は、Password Manager Proセカンダリサーバーを一度再起動する必要があります。