ADSelfService Plus マルチファクター認証による本人確認

Active Directory アカウント管理セルフサービスソフト

本人確認の必要性

ドメインユーザー自身に Windows Active Directory のアカウント管理を実行させるには、セキュリティ面での一定の配慮が必要です。正当なユーザーのみが アカウントロック解除/パスワードのリセットを実行できるよう、ユーザーの本人確認が必要となります。

ADSelfService Plus マルチファクター認証(multi-factor authentication)による本人確認

マルチファクター認証(multi-factor authentication)は別名、多要素認証2ファクタ認証と呼ばれることがあります。

ADSelfService Plusでは、ドメインユーザーがアカウントロック解除/パスワードのリセットなどを実行する際に、マルチファクター認証(multi-factor authentication)を用いて本人確認することでセキュリティを強化しています。認証には次の種類があります。

本人確認には、ドメインユーザーは携帯電話のSMSまたは電子メールで受信した認証コードを正しく入力するか、あらかじめ設定しておいた一連のセキュリティ質問に回答するか、Google Authenticator というモバイルアプリを利用してGoogle 認証システムによって発行された認証コードを入力する必要があります。本人確認が成功した場合のみ、ドメインユーザーは自身のアカウントロックを解除したり、パスワードをリセットしたりすることができます。

ADSelfService Plus : ドメインユーザーによるアカウントロック解除イメージ【ADSelfService Plus : ドメインユーザーによるアカウントロック解除イメージ】

ADSelfService Plus 2ファクター認証による 本人確認プロセス

ADSelfService Plus : 2ファクター認証による本人確認プロセス【ADSelfService Plus : 2ファクター認証による本人確認プロセス】

ADSelfService Plus ベーシックセキュリティチェック

本人確認プロセスは、ドメインユーザーが ADSelfService Plus にアクセスしてアカウントロック解除/パスワードリセットのリンクをクリックしたときに開始します。ドメインユーザーは自分の名前を入力し、所属するドメインを選択するよう要求されます。ADSelfService Plusサーバーは、バックグラウンドで、ドメインユーザーの身元を証明するために、次のような一連のセキュリティチェックを実施します。

  • ドメイン所属のチェック: ドメインユーザーがドメインに所属していることを確認
  • ポリシー設定のチェック: ドメインユーザーがADSelfService Plus上でアカウントロック解除/パスワードリセットの操作が許可されていることを確認
    • ADSelfService Plusでは、ドメインユーザーが利用できるセルフサービスを必要なものだけに制限するポリシー設定が可能です。
    • ADSelfService Plusの管理者が適切だとみなしたドメインユーザーに限り、アカウントロック解除/パスワードリセットを許可できます。
  • 登録ステータスのチェック: ドメインユーザーにセキュリティ質問に回答させたり、携帯電話のSMS/電子メールで受け取った認証コードを入力させたりすることで、ドメインユーザーがADSelfService Plusに登録されていることを確認。
    • 登録が確認されたドメインユーザーに限り、パスワードリセット/アカウントロック解除の実行が許可されます。
  • ブロックされたドメインユーザーのチェック: ADSelfService Plus によってアクセスがブロックされていないことを確認
    • ADSelfService Plusの管理者により、あらかじめ設定した規定回数を試みても、セキュリティ質問に正しく回答できなかったり、正しい認証コードが入力できなかったりしたドメインユーザーは、ADSelfService Plusによってアクセスがブロックされます。

「セキュリティ質問」による本人確認

システム管理者は、ユーザーが回答する質問数、質問の最少/最多文字数、回答の最少/最多文字数を設定でき、ドメインユーザーがパスワードを忘れたときやアカウントロック解除の際にそれらを利用できます。

ADSelfService Plus : 「セキュリティ質問」の質問と回答の入力画面「セキュリティ質問」の質問と回答の入力画面
ADSelfService Plus : 「セキュリティ質問」の質問と回答の設定画面「セキュリティ質問」の質問と回答の設定画面

認証コードによる本人確認

ドメインユーザーは携帯電話のSMSまたは電子メールで受信した認証コードを正しく入力することで本人確認できます。

Google Authenticatorによる本人確認

2ファクタ認証のコードをアプリで受け取る「Google認証システム」であるGoogle Authenticatorを使用できます。

一度有効にすると、パスワードリセット/アカウントロック解除の際はGoogle Authenicatorアプリで作成されたコードを入力します。

モバイルアプリ認証による本人確認

プッシュ通知・指紋認証・QRコードを使用した認証・タイムペース、ワンタイムパスワード認証を使用した方法をモバイルで確認できます。

Duo Security

ADSelfService Plusの多要素認証は、Duo Securityをサポートしています。
これは広く信頼されているアクセスプラットフォームであり、ユーザーの本人確認により組織の安全性を確保します。
ユーザーはDuo Securityに登録する必要があります。
この認証方法が有効化されると、ユーザーは、パスワードのリセットやアカウントのアンロックを行うときに、
Duo Securityが認証コードを送信する通知方法を選択する必要があります。
認証が成功すると、ユーザーはセルフサービスでパスワードやアカウントを操作できます。

RSA SecurID

ADSelfService Plusは、RSA SecurIDと統合して、ネットワークリソースへのアクセスを試みるユーザーに安全な認証方法を提供します。
ユーザーはパスワードのリセットやアカウントのアンロックを行うときに、RSA SecurIDのモバイルアプリが生成した
セキュリティコード、メールまたはSMSで取得したハードウェアトークンやトークンを使用して、ADSelfService Plusにログインすることができます。

RADIUS

ADSelfService Plusは、管理者がRADIUSをユーザー認証の手段として追加することを可能にします。
管理者がRADIUSを有効化すると、ユーザーはRADIUSパスワードを本人確認のために入力する必要があります。
アカウントを認証すると、ユーザーはセルフサービス操作を実行して、プロトコルで要求されている次の認証手順に移行することができます。

悪質なユーザーが回答を何度も推測することを防ぐために、管理者は、一定期間中に一定回数誤った回答を提出したアカウントを一時的にブロックするように設定できます。

SAML認証

ADSelfService Plusは、管理者がRADIUSをユーザー認証の手段として追加することを可能にします。
管理者がSAML認証を有効化すると、ユーザーはSAML認証で設定しているサービスのユーザー名、パスワードを本人確認のために入力する必要があります。
アカウントを認証すると、ユーザーはセルフサービス操作を実行することが可能となります。

システム管理者は、本人確認の手段として、sAMAccountNameやnameなどADで設定している属性を使用することが可能です ドメインユーザーがパスワードを忘れたときやアカウントロック解除の際にそれらを利用できます。