Active Directoryの2段階認証(2ファクタ認証)をツールで実装するには

Active Directory アカウント管理セルフサービスソフト

2段階認証(2ファクタ認証)による本人確認の必要性

2段階認証(2ファクタ認証)とは、ID・パスワード入力のほかに、異なる要素(秘密の質問/電話番号/ワンタイムパスワード)を持つセキュリティコードを組み合わせて認証を行うことで、本人確認を行い、不正アクセスを防止するための認証方法です。

特に、Active Directoryパスワードのリセットをセルフサービス化 する際は、社内ネットワーク上にある重要な情報の機密性を高めるため、2段階認証(2ファクタ認証)が必要となります。

Active  Directory   2段階認証(2ファクタ認証)の課題

Active Directoryパスワードに2段階認証を実現するには、専用ツールの導入が必要不可欠です。ツール選びの際に必要なのは、「認証の種類が、自社のニーズにマッチしているか」という視点です。より多くの認証が使えるツールであれば、自社のサービスにマッチし、環境が変わったり、規定が変わったりした場合にも、滞りなく認証ができるでしょう。 当社製品の「ADSelf Service Plus」は、14種類の二段階認証に適合したADアカウントセルフサービスソフトウェアです。ユーザー自身によるアカウントロック時の解除、パスワードリセットを実行でき、セルフサービス展開に必要な機能を備え、より安全な状態で本人確認が展開できます。 


ADSelfService Plus 2段階認証による本人確認

2段階認証は別名マルチファクター認証(multi-factor authentication)多要素認証2ファクタ認証 と呼ばれることがあります。

ADSelfService Plusでは、ドメインユーザーがアカウントロック解除/パスワードのリセット などを実行する際に、マルチファクター認証(multi-factor authentication)を用いて本人確認することでセキュリティを強化しています。認証には次の種類があります。

本人確認には、ドメインユーザーは携帯電話のSMSまたは電子メールで受信した認証コードを正しく入力するか、あらかじめ設定しておいた一連のセキュリティ質問に回答するか、Google Authenticator というモバイルアプリを利用してGoogle 認証システムによって発行された認証コードを入力する必要があります。本人確認が成功した場合のみ、ドメインユーザーは自身のアカウントロックを解除したり、パスワードをリセットしたりすることができます。

ADSelfService Plus : ドメインユーザーによるアカウントロック解除イメージ 【ADSelfService Plus : ドメインユーザーによるアカウントロック解除イメージ】

ADSelfService Plus 2ファクター認証による 本人確認プロセス

ADSelfService Plus : 2ファクター認証による本人確認プロセス 【ADSelfService Plus : 2ファクター認証による本人確認プロセス】

ADSelfService Plus ベーシックセキュリティチェック

本人確認プロセスは、ドメインユーザーが ADSelfService Plus にアクセスしてアカウントロック解除/パスワードリセット のリンクをクリックしたときに開始します。ドメインユーザーは自分の名前を入力し、所属するドメインを選択するよう要求されます。ADSelfService Plusサーバーは、バックグラウンドで、ドメインユーザーの身元を証明するために、次のような一連のセキュリティチェックを実施します。

  • ドメイン所属のチェック: ドメインユーザーがドメインに所属していることを確認
  • ポリシー設定のチェック: ドメインユーザーがADSelfService Plus上でアカウントロック解除/パスワードリセットの操作が許可されていることを確認
    • ADSelfService Plusでは、ドメインユーザーが利用できるセルフサービスを必要なものだけに制限するポリシー設定が可能です。
    • ADSelfService Plusの管理者が適切だとみなしたドメインユーザーに限り、アカウントロック解除/パスワードリセットを許可できます。
  • 登録ステータスのチェック: ドメインユーザーにセキュリティ質問に回答させたり、携帯電話のSMS/電子メールで受け取った認証コードを入力させたりすることで、ドメインユーザーがADSelfService Plusに登録されていることを確認。
    • 登録が確認されたドメインユーザーに限り、パスワードリセット/アカウントロック解除の実行が許可されます。
  • ブロックされたドメインユーザーのチェック: ADSelfService Plus によってアクセスがブロックされていないことを確認
    • ADSelfService Plusの管理者により、あらかじめ設定した規定回数を試みても、セキュリティ質問に正しく回答できなかったり、正しい認証コードが入力できなかったりしたドメインユーザーは、ADSelfService Plusによってアクセスがブロックされます。

「セキュリティ質問」による本人確認

システム管理者は、ユーザーが回答する質問数、質問の最少/最多文字数、回答の最少/最多文字数を設定でき、ドメインユーザーがパスワードを忘れたときやアカウントロック解除の際にそれらを利用できます。

security questions 「セキュリティ質問」の質問と回答の設定画面

認証コードによる本人確認

ドメインユーザーは携帯電話のSMSまたは電子メールで受信した認証コードを正しく入力することで本人確認できます。

Google Authenticatorによる本人確認

2ファクタ認証のコードをアプリで受け取る「Google認証システム」であるGoogle Authenticatorを使用できます。

一度有効にすると、パスワードリセット/アカウントロック解除の際はGoogle Authenicatorアプリで作成されたコードを入力します。

モバイルアプリ認証による本人確認

プッシュ通知・指紋認証・QRコードを使用した認証・タイムペース、ワンタイムパスワード認証を使用した方法をモバイルで確認できます。

Duo Security

ADSelfService Plusの多要素認証は、Duo Securityをサポートしています。
これは広く信頼されているアクセスプラットフォームであり、ユーザーの本人確認により組織の安全性を確保します。
ユーザーはDuo Securityに登録する必要があります。
この認証方法が有効化されると、ユーザーは、パスワードのリセットやアカウントのアンロックを行うときに、
Duo Securityが認証コードを送信する通知方法を選択する必要があります。
認証が成功すると、ユーザーはセルフサービスでパスワードやアカウントを操作できます。

RSA SecurID

ADSelfService Plusは、RSA SecurIDと統合して、ネットワークリソースへのアクセスを試みるユーザーに安全な認証方法を提供します。
ユーザーはパスワードのリセットやアカウントのアンロックを行うときに、RSA SecurIDのモバイルアプリが生成した
セキュリティコード、メールまたはSMSで取得したハードウェアトークンやトークンを使用して、ADSelfService Plusにログインすることができます。

RADIUS

ADSelfService Plusは、管理者がRADIUSをユーザー認証の手段として追加することを可能にします。
管理者がRADIUSを有効化すると、ユーザーはRADIUSパスワードを本人確認のために入力する必要があります。
アカウントを認証すると、ユーザーはセルフサービス操作を実行して、プロトコルで要求されている次の認証手順に移行することができます。

悪質なユーザーが回答を何度も推測することを防ぐために、管理者は、一定期間中に一定回数誤った回答を提出したアカウントを一時的にブロックするように設定できます。

SAML認証

ADSelfService Plusは、管理者がRADIUSをユーザー認証の手段として追加することを可能にします。
管理者がSAML認証を有効化すると、ユーザーはSAML認証で設定しているサービスのユーザー名、パスワードを本人確認のために入力する必要があります。
アカウントを認証すると、ユーザーはセルフサービス操作を実行することが可能となります。

システム管理者は、本人確認の手段として、sAMAccountNameやnameなどADで設定している属性を使用することが可能です ドメインユーザーがパスワードを忘れたときやアカウントロック解除の際にそれらを利用できます。


導入費用は、年間ライセンス26.6万円(500ドメインユーザー・1年間の保守サポート付き)と格安でご用意。さらに今なら、フル機能を、30日間の技術サポート付き無料でお試しいただける評価版もご提供しており、しっかりお試しいただいてから導入できるツールです。