2段階認証の設定 - RSA SecurID

(この機能は、Enterprise Editionでのみサポートされています。)

ステップ1:2段階認証の設定

初めに、2段階認証を有効にします。手順は次の通りです;

    1. [管理]タブに移動し、[2段階認証]をクリックします。
    2. [RSA SecurID]を選択します。管理者は、RSAのオンデマンド認証を有効にすることもできます。その場合、オンデマンド認証のチェックボックスを有効にします。

RSA SecurID

RSA認証マネージャおよびRSA SecurIDアプライアンスをお持ちの場合、これらをPMPと統合し、RSA SecurID認証をPMPの2段階認証の手段として利用することができます。

RSA SecurID認証を利用するために、PMPはRSA認証マネージャのRSA APIと通信します。PMPはユーザーの資格情報をRSA認証マネージャに送信し、検証された結果を受け取ります。

PMPとRSA SecurIDの統合

PMPとRSA SecurIDを統合する手順について、次の手順を参照してください;

  • RSA認証マネージャ上で、PMPがインストールされているサーバーをエージェント ホストとして登録します。
  • RSA認証マネージャのコンフィグ ファイルあるいは sdconf.rec を生成します。sdconf.rec[PMP_Installation_Folder]/bin にコピーします。更に、ノードのシークレット ファイル(SecurID)が存在する場合は、それもコピーします。
  • [RSA_AGENT_HOST]のプロパティ値に、既定のアプリケーションディレクトリにある([PMP Home]\bin)RSA認証API設定ファイル(rsa_api.properties)のPMPサーバーのホスト名またはIPアドレスを入力します。

重要メモ:PMPの高可用性機能を使用している場合、上記の手順をセカンダリ サーバー上でも実行してください。

RSA SecurIDを使用した2段階認証 - イベントの流れ

認証を実行可能にするには、RSAセキュリティ コンソールを使用してRSA認証マネージャに必要なPMPユーザーをすべて入力します。そして、トークンを割り当て、適切なエージェント ホスト上でアクティベートする必要があります。RSA認証マネージャ上のユーザー名とPMPのユーザー名は一致するようにしてください。既存のRSAユーザーでPMPユーザー名とRSA認証マネージャ上のユーザー名が異なる場合、RSAの名前を変更せずに、PMPのユーザーをマッピングすることが可能です。その場合、PMPユーザーのプロパティを編集を行います。(例えばActive DirectoryからインポートしたPMPユーザーのユーザー名が ADVENTNET\suzukiと仮定し、RSA認証マネージャ上のユーザー名は、[suzuki]としましょう。通常の場合、PMPのユーザー名とRSA認証マネージャのユーザー名が不一致となります。この不一致を防ぐため、PMPユーザー ADVENTNET\suzuki をRSA認証マネージャのユーザー suzuki にマッピングすることができます。)

次のシーケンスは、一般的なPMP - RSA SecurID認証のプロセスです。ユーザーは2回認証される必要があります:1回目はローカルのLDAPまたはActive Directoryパスワード、2回目はRSA SecurIDのトークンです。

    1. ユーザーがPMPのWebインタフェースにアクセスしようとします。
    2. PMPはActive Directory / LDAP / ローカル認証のいずれかを使用して、ユーザーを認証します(1段階目の認証)。
    3. PMP上にユーザーとRSA SecurIDのパスコードの入力が要求され、資格情報をRSAランタイムAPI経由でRSA認証マネージャに転送します。
    4. RSA認証マネージャがユーザーを認証し、PMPへメッセージを返します。
    5. PMPはユーザーを認証し、対象となるリソースへのアクセスを許可します。

ステップ2:PMPのユーザーに2段階認証の強制

上記ステップ 1 で、2段階認証にRSA SecurIDを使用する設定を行いました。次に、2段階認証を適用するユーザーを指定します。

ユーザーに2段階認証を強制するには;

    1. [管理] >> [ユーザー]を開きます。
    2. [その他の操作] >> [2段階認証を設定]を選択します。
    3. 2段階認証を強制するユーザーを選択します。
    4. [保存]をクリックします。

2段階認証が有効な場合にPMPのWebインタフェースに接続する方法

2段階認証が有効になっているユーザーは、PMPにログインするために2つの認証プロセスに成功する必要があります。上記で説明した通り、最初の認証は、通常の認証と同じです。つまり、ユーザーはPMPのログイン画面からのローカル認証あるいはAD/LDAP認証を行う必要があります。管理者が設定した2段階認証のタイプによって、2段階目の認証は次のように異なります;

メモ:2段階認証が有効な場合、ログイン画面上にはユーザー名を入力するフィールドだけが表示されます。ユーザーがパスワードの入力を求められるのは、2段階目のステップです。

RSA SecurID認証による2段階認証のワークフロー

管理者がRSA SecurIDによる2段階認証を設定した場合、次のようなプロセスになります;

  • ユーザーはPMPのWeb画面(ログイン画面)にアクセスし、ユーザー名を入力して [ログイン]ボタンをクリックします。
  • [パスワード]項目に、ローカル認証用またはAD/LDAP認証用のパスワードを入力します。
  • [RSAパスコード]に、RSA SecurIDのパスコードを入力します。パスコードはPINとトークンコードの組み合わせ、トークンコードのみ、もしくはオンデマンドPINを入力します。これは、RSA認証マネージャの設定により異なります。
  • RSAオンデマンド認証を活用したい場合、[RSAオンデマンド]を選択し、次に進みます。この場合、次のケース3で説明するように、オンデマンドのトークンコードを入力する必要があります。

RSA SecurIDを使用した2段階認証:PMPにログインするための異なるシナリオ

ケース 1:ユーザーが生成した、またはシステムが作成したPIN

上述した通りRSAパスコードには、PINとトークンコードの組み合わせか、トークンコードのみ、またはパスワードを入力します。これは、RSA認証マネージャの設定に応じて選択します。RSAセキュリティ コンソールの設定により、ユーザーが自分でPINを作成する、もしくはPINを生成したシステムを使用するよう要求する場合、次の画面がステップ 2 の後に表示されます(PMPにログインするために、最初のパスワードとRSAトークンコードを入力した後に表示されます。);


メモ:トークンのPIN作成方法については、トークンポリシーで設定します。

ユーザーによるPIN作成

ユーザーが作成したPINの場合、ユーザーは自分自身にそのPINを入力します。PINは数値で4文字以上、8文字以下です。PINを入力すると、ユーザーはRSAトークンコードが新しい値になるまで待機します。それから、次の画面で新しいPINと認証用RSAトークンコードを入力します。

システムによるPIN作成

システムがPINを作成した場合、PMPはランダムにPINを生成し、画面に表示させます。ユーザーはPINをメモし、RSAトークンコードの新しい値が表示されるまで待機します。それから、次の画面でシステムが生成した新しいPINと認証用RSAトークンコードを入力します。

ケース 2:新規トークンコード モード

ランダムRSAパスコード、あるいは時間制限のある不特定番号を使用してログインする場合、RSA認証マネージャは次のトークンコードを表示するモードに切り替わり、ユーザーのトークン保有を検証します。この場合、ログイン中にPMPは次のトークンコードを要求します。つまり、ユーザーはRSA端末が新しいトークンコードを表示し、PMPログイン時に新しいコードが使用されるまで待機する必要があります。

メモ:ユーザーが入力した新しいトークンコードが間違っている場合、最初のログイン画面に戻ります。この場合、ユーザーはユーザー名を入力するところからやり直す必要があります。


ケース 3:トークンコード モード

RSAオンデマンド認証を設定すると、PMPにログするためにトークンコードを入力する必要があります。トークンコードは、RSAオンデマンド認証システムで設定された登録済みe-mailID、もしくは携帯番号に送信されます。

高可用性が設定されている場合

2段階認証を有効化する場合、もしくは、2段階認証のタイプ(PhoneFactor/RSA SecurID/ワンタイム パスワード)を変更し高可用性が設定されているシステムの場合、PMPのセカンダリ サーバーを再起動する必要があります。

©2014, ZOHO Corp. All Rights Reserved.

上へ