RSA SecurIDでの2段階認証の設定
(プレミアムとエンタープライズエディションでのみ利用可能な機能)

RSA Authentication ManagerとRSA SecurID機器がお使いの環境に揃っている場合、Password Manager ProでRSA SecurIDでの2段階認証(TDA)を設定できます。これにより、RSA SecurIDの認証要素をログインのセキュリティの第2レイヤとして利用できます。

以下は、Password Manager ProでRSA SecurIDでの2段階認証を設定する手順です。

  1. Password Manager Proでの2段階認証の設定
  2. RSA SecurIDとPassword Manager Proとの連携
  3. 必要なユーザーへの2段階認証の強制
  4. 2段階認証を有効にした後Password Manager ProのWebインターフェイスに接続

1.Password Manager Proでの2段階認証の設定

  1. [管理] >> [認証] >> [2段階認証]の順に移動します。
  2. RSA SecurIDオプションを選択し、[保存]をクリックします。管理者はオンデマンド認証のチェックボックスを選択して、RSAオンデマンド認証を有効にすることもできます。
  3. 次に、[確認]をクリックして、認証の第2要素としてRSA SecurIDを適用します。

2.RSA SecurIDとPassword Manager Proとの連携

以下の手順で、RSA SecurIDとPassword Manager Proとを連携することができます。

  1. RSA Authentication ManagerにPassword Manager Proサーバーをエージェントホストとして登録します。
  2. RSA Authentication Manager構成ファイルを生成するか、またはsdconf.recをRSAマネージャで生成します。sdconf.recをコピーし、<PMP_SERVER_HOME>\binディレクトリに貼り付けます。また、ノードシークレットファイル(SecureID)が存在する場合は、それもコピーして貼り付けます。
  3. RSA認証API構成ファイル(rsa_api.properties)で、"RSA_AGENT_HOST"のプロパティ値を編集し、Password Manager Proのサーバーホスト名またはIPアドレスにします。このファイルは、デフォルトのアプリケーションディレクトリ(<PMP_SERVER_HOME>\bin)にあります。

注記:Password Manager Proの高可用性機能を使用している場合、セカンダリサーバーのインストールでも上記の手順を実行する必要があります。

Password Manager ProユーザーのRSA Authentication Managerへの紐づけ

第2要素での認証を実行する前に、RSAセキュリティコンソールを使って、希望するすべてのPassword Manager ProユーザーをRSA Authentication Managerに入力し、それらにトークンを割り当て、適切なエージェントホストでアクティブ化します。

RSA Authentication Managerのユーザー名と、Password Manager Proの対応するユーザー名が同じであることを確認します。既存のRSAユーザーの場合、Password Manager ProとRSA Authentication Managerの間でユーザー名の不一致がある場合、Password Manager Proでユーザープロパティを編集して、Password Manager Proに正しいユーザー名を紐づけることが出来ます。
例えば、'ZYLKER\rob'の名前でActive DirectoryからPassword Manager Proにユーザーをインポートしたとします。その際、RSA Authentication Managerのユーザー名が'rob'として記録されている場合、不一致が生じます。これを避けるため、ユーザー名をPassword Manager Proで編集して、'ZYLKER\rob' の名前を'rob'に紐づけます。

以下は、Password Manager ProとRSA SecurIDとの間の認証プロセスの順序です。

  1. ユーザーが初めに、Password Manager Proにアクセスする場合、認証はActiveDirectoryまたはLDAPあるいはローカルに行われます。
  2. Password Manager Proはユーザーに、ユーザー名とRSA SecurIDパスコードを求め、その両方をRSA Runtime APIを通じてRSA Authentication Managerに送信します。
  3. 次に、RSA Authentication Managerは、ユーザーを認証し、Password Manager Proにメッセージを戻します。
  4. Password Manager Proは、要求されたリソースへのアクセス権をユーザーに付与します。

3.必要なユーザーへの2段階認証の強制

  1. RSA SecurIDを第2要素とすることを確定すると、新しいウィンドで、2段階認証を強制するユーザーを選択するように求められます。
  2. ここから、単一ユーザーまたは複数のユーザーに対して、2段階認証を一括で有効化、無効化できます。単一ユーザーに対して2段階認証を有効化するには、各ユーザー名の横にある[有効化]をクリックします。複数のユーザーの場合は、有効化が必要なユーザー名を選択し、ユーザー一覧の上部にある [有効化] をクリックします。同様に、ここから、2段階認証を[無効化]することもできます。
  3. [ユーザー]>[その他の操作]>[2段階認証を設定]から、後でユーザーを選択することもできます。

4.2段階認証を有効にした後Password Manager ProのWebインターフェイスに接続

アカウントに対して2段階認証が有効になっているユーザーは、ログインの際に2回連続で認証に成功する必要があります。上記のように、1段階の認証はPassword Manager Proのローカル認証またはAD/LDAP認証で行います。2段階目の認証は、以下の説明の通り、管理者が選択した2段階認証の種類によって異なります。

  1. Password Manager ProのWebインターフェイスを起動すると、ユーザーはユーザー名と、ローカル認証パスワード、またはAD/LDAPパスワードを入力してPassword Manager Proにログインし、[ログイン]をクリックする必要があります。
  2. RSAパスコードテキストフィールドで、RSA SecurIDパスコードを入力します。パスコードは、RSA Authentication Managerで行った設定に応じて、PINとトークンコードの組み合わせ、またはトークンコードのみ、あるいはオンデマンドPINにできます。
  3. RSAオンデマンド認証を利用する場合、RSAオンデマンドを選択して続行します。この場合、以下のケース3での説明の通り、オンデマンドトークンコードを入力する必要があります。

4.1 Password Manager ProにRSA SecurIDを使用してログインする場合の、異なる3つのシナリオ

ケース1:ユーザーが生成したPIN/システムが作成したPINの入力

上記のとおり、RSAパスコードは、RSA Authentication Managerで行う設定に応じて、PINとトークンコードの組み合わせ、またはトークンコードのみ、あるいはパスワードにできます。RSAセキュリティコンソールの設定でにより、ーザーが各自でPINの作成を求められている、あるいはシステム生成のPINを使用する場合、手順2の後(すなわち、Password Manager Proにログインする第1パスワードとRSAトークンコードの入力後)に、以下のオプションがユーザーに示されます。

ユーザー作成のPIN:

ユーザー作成のPINの場合、ユーザーは、各自でPINを入力するオプションがあります。PINには最小4文字、最大8文字の数値が含まれている必要があります。PINの入力後、ユーザーは、RSAトークンコードが新しい値に変更されるまで、しばらく待つ必要があります。続いて、次の画面で、新しいPINとRSAトークンコードを入力して認証します。

システム作成のPIN:

システム作成のPINの場合、 Password Manager Pro自体がランダムにPINを生成し、それが画面に表示されます。ユーザーはその新しいPINをメモし、RSAトークンコードが新しい値に変更されるまでしばらく待ちます。続いて、次の画面で、システムが生成した新しいPINとRSAトークンコードを入力して認証します。

ケース2:新規トークンコードモード

ユーザーがランダムなRSAパスコード、または推測したRSAパスコードで、指定した回数、Password Manager Proへのログインを試行すると、RSA Authentication Managerが画面を新規トークンコードモードに切り替え、ユーザーがトークンを所有しているかを確認します。その場合、Password Manager Proは、ログインにおいて次のトークンコードを求めます。すなわち、ユーザーがPassword Manager Proへのログインを進めるためには、RSAデバイスに新しいトークンコードと、新しいコードが示されるまで待つ必要があります。

注記:ユーザーが入力した新しいトークンコードが間違っている場合、Password Manager Proは初回ログイン画面に戻ります。ユーザーは、ユーザー名を入力して、再開する必要があります。

ケース3:トークンコードモード

RSAオンデマンド認証を設定した場合、トークンコードを入力し、Password Manager Proにログインする必要があります。トークンコードは、RSAオンデマンド認証システムで設定した通り、登録したメールアドレスまたは携帯電話番号に送信されます。

注記:高可用性を設定した場合、2段階認証を有効化した際、または2段階認証のサービス種別を変更した際に、変更を有効化するため、Password Manager Proセカンダリサーバーを再起動する必要があります。