ADSelfService Plus マルチファクター認証による本人確認

Active Directory アカウント管理セルフサービスソフト

マルチクター認証によるドメインユーザーの本人確認

マルチファクター認証を使用した本人確認で
セキュリティ強化

本人確認の必要性

ドメインユーザー自身に Windows Active Directory のアカウント管理を実行させるには、セキュリティ面での一定の配慮が必要です。正当なユーザーのみが アカウントロックの解除/パスワードのリセットを実行できるよう、ユーザーの本人確認が必要となります。

ADSelfService Plus マルチファクター認証による本人確認

ADSelfService Plusでは、ドメインユーザーがアカウントロックの解除/パスワードのリセットなどを実行する際に、マルチファクター認証を用いて本人確認することでセキュリティを強化しています。認証には次の種類があります。

本人確認には、ドメインユーザーは携帯電話のSMSまたは電子メールで受信した認証コードを正しく入力するか、あらかじめ設定しておいた一連のセキュリティ質問に回答するか、Google Authenticator というモバイルアプリを利用してGoogle 認証システムによって発行された認証コードを入力する必要があります。本人確認が成功した場合のみ、ドメインユーザーは自身のアカウントロックを解除したり、パスワードをリセットしたりすることができます。

ADSelfService Plus : ドメインユーザーによるアカウントロック解除イメージ【ADSelfService Plus : ドメインユーザーによるアカウントロック解除イメージ】

ADSelfService Plus マルチファクター認証による 本人確認プロセス

ADSelfService Plus : マルチファクター認証による本人確認プロセス【ADSelfService Plus : マルチファクター認証による本人確認プロセス】

ADSelfService Plus ベーシックセキュリティチェック

本人確認プロセスは、ドメインユーザーが ADSelfService Plus にアクセスしてアカウントロック解除/パスワードリセットのリンクをクリックしたときに開始します。ドメインユーザーは自分の名前を入力し、所属するドメインを選択するよう要求されます。ADSelfService Plusサーバーは、バックグラウンドで、ドメインユーザーの身元を証明するために、次のような一連のセキュリティチェックを実施します。

  • ドメイン所属のチェック: ドメインユーザーがドメインに所属していることを確認
  • ポリシー設定のチェック: ドメインユーザーがADSelfService Plus上でアカウントロック解除/パスワードリセットの操作が許可されていることを確認
    • ADSelfService Plusでは、ドメインユーザーが利用できるセルフサービスを必要なものだけに制限するポリシー設定が可能です。
    • ADSelfService Plusの管理者が適切だとみなしたドメインユーザーに限り、アカウントロック解除/パスワードリセットを許可できます。
  • 登録ステータスのチェック: ドメインユーザーにセキュリティ質問に回答させたり、携帯電話のSMS/電子メールで受け取った認証コードを入力させたりすることで、ドメインユーザーがADSelfService Plusに登録されていることを確認。
    • 登録が確認されたドメインユーザーに限り、パスワードリセット/アカウントロック解除の実行が許可されます。
  • ブロックされたドメインユーザーのチェック: ADSelfService Plus によってアクセスがブロックされていないことを確認
    • ADSelfService Plusの管理者により、あらかじめ設定した規定回数を試みても、セキュリティ質問に正しく回答できなかったり、正しい認証コードが入力できなかったりしたドメインユーザーは、ADSelfService Plusによってアクセスがブロックされます。

「セキュリティ質問」による本人確認

システム管理者は、ユーザーが回答する質問数、質問の最少/最多文字数、回答の最少/最多文字数を設定でき、ドメインユーザーがパスワードを忘れたときやアカウントロックの解除の際にそれらを利用できます。

ADSelfService Plus : 「セキュリティ質問」の質問と回答の入力画面「セキュリティ質問」の質問と回答の入力画面
ADSelfService Plus : 「セキュリティ質問」の質問と回答の設定画面「セキュリティ質問」の質問と回答の設定画面

認証コードによる本人確認

ドメインユーザーは携帯電話のSMSまたは電子メールで受信した認証コードを正しく入力することで本人確認できます。

Google Authenticatorによる本人確認

2段階認証のコードをアプリで受け取る「Google認証システム」であるGoogle Authenticatorを使用できます。

一度有効にすると、パスワードリセット/アカウントロック解除の際はGoogle Authenicatorアプリで作成されたコードを入力します。

モバイルアプリ認証による本人確認

プッシュ通知・指紋認証・QEコードを使用した認証・タイムペース、ワンタイムパスワード認証を使用した方法をモバイルで確認できます。