二段階認証

ユーザーログインのセキュリティを強化するために、Log360は二段階認証をサポートしています。Log360では以下の二段階認証を使用できます。二段階認証を有効化すると、ユーザーはログイン時にActive Directoryの認証情報に加えて、以下のいずれかの認証メカニズムを使用して認証を行う必要があります。

• メール認証
• SMS認証
• Google認証システム
• RSA SecurID
• Duo Security
• Microsoft認証システム
• カスタムTOTP認証システム
• RADIUS 認証
• バックアップ検証コード

二段階認証の設定

1. 管理者としてLog360にログインします。
2. [管理]タブ → [管理] → [ログイン設定]に移動します。
3. [二段階認証]タブに移動します。
4. 二段階認証を有効化します。
   
5. 二段階認証で使用する認証方法を選択します。
   

注記：

• 複数の認証方法を有効にした場合、ユーザーはログイン時に1つの認証方法を選択するよう求められます。
• 選択した認証方法を使用するために必要な設定を完了していることを確認してください。
6. [保存]をクリックします。

メール認証

Log360は確認コードをユーザーのメールアドレス宛に送信します。ユーザーが正常にログインするためには、確認コードを入力する必要があります。

設定手順

1. メールサーバーを設定します。
2. メールの件名およびメッセージ内容を入力します。
3. 要件に応じて、優先度を設定できます（メッセージボックス右上の!マークをクリック）。
4. [マクロ]をクリックすることで、メッセージ内に任意のマクロ要素を入力できます。
5. [保存]をクリックします。
   

SMS認証

Log360は確認コードをユーザーの電話番号にSMSで送信します。ユーザーが正常にログインするためには、確認コードを入力する必要があります。

設定手順

1. SMSサーバーを設定します。
2. メッセージ内容を入力します。
3. [マクロ]をクリックすることで、メッセージ内に任意のマクロ要素を入力できます。
4. [保存]をクリックします。
   

Google認証システム

Google認証システムを有効化することで、ユーザーは本人確認のためにGoogle Authenticatorアプリによって生成された6桁のセキュリティコードを入力する必要があります。

設定手順

1. [Google認証システム]をクリックします。
2. 有効化すると、ユーザーはGoogle Authenticatorアプリを使用して二段階認証に自分自身を登録できます。

RSA SecurID

RSA SecurIDは、ネットワークリソースに対するユーザーの二要素認証を実行するために開発されたメカニズムです。ユーザーは、RSA SecurIDアプリによって生成されたセキュリティコード、ハードウェアトークン、またはメールやSMSで受信したトークンを使用して、Log360にログインできます。

設定手順

1. RSAの管理コンソール（例：https://log360-rsa.testdomain.com/sc）にログインします。
2. [アプリケーション] → [認証エージェント]に移動し、[新規追加]をクリックします。
3. Log360サーバーを認証エージェントとして追加し、[保存]をクリックします。
4. [アクセス] → [認証エージェント]に移動し、[設定ファイルの生成]をクリックします。
5. 「AM_Config.zip」（認証マネージャー設定）をダウンロードします。
6. ダウンロードしたZIPファイルZIPファイル内から「sdconf.rec」を取得します。
7. Log360にてRSA SecurIDを有効化後、[参照]をクリックして、「sdconf.rec」ファイルを選択します。
8. [保存]をクリックします。
   

Duo Security

Duo Securityによる認証が有効になっている場合、プッシュ通知を使用してLog360へのログイン要求を承認または拒否するか、Duoモバイルアプリによって生成された6桁のセキュリティコードを入力できます。Log360でのDuo Security経由の認証は、Web v2 SDKとWeb v4 SDKの2つの方法で設定できます。

Web v2 SDKは、Log360のiframeに表示される従来のDuoプロンプトを使用しますが、Web v4 SDKは、認証のためにユーザーをDuoにリダイレクトする再設計されたUIを備えたDuoのOIDCベースのユニバーサルプロンプトを使用します。

前提条件

• ユーザーが古いバージョンのInternet Explorerを使用している場合は、APIホスト名と管理コンソール（例：https://admin-325d33c0.duosecurity.com）をマシンの信頼済みサイトまたはイントラネットサイトとして追加します。
• 従来のプロンプトを使用するWeb v2 SDKから、新しいユニバーサルプロンプトを採用したWeb v4 SDKに移行するには、Duo管理パネルでユニバーサルプロンプトへの移行を実施してください。

Web v4 SDKの設定手順

1. Duo Securityアカウント（例：https://admin-325d33c0.duosecurity.com）にログインするか、新しいアカウントをサインアップしてログインします。
2. [アプリケーション]に移動し、[アプリケーションの保護]をクリックします。
   
3. Web SDKを検索し、[保護]をクリックします。
   
4. クライアントID、クライアントシークレット、APIホスト名の値をコピーします。
   
5. Log360で、[管理]タブ → [管理] → [ログイン設定] → [二段階認証]タブ → [Duo Security]に移動します。
6. [有効化 Duo Security]にチェックを入れ、[統合の種類]として[Web v4 SDK]を選択します。
   
7. Duo管理パネルから取得したクライアントID、クライアントシークレット、APIホスト名をそれぞれのフィールドに貼り付けます。
8. [ユーザー名のパターン]に、Duo Securityで使用されているのと同じユーザー名のパターンを入力します。
9. [保存]をクリックします。

ユニバーサルプロンプトへの移行

1. Duo管理パネルで、以前にLog360用に設定したWeb SDKアプリケーションを選択し、統合キー、シークレットキー、APIホスト名の値をコピーします。
2. [ユニバーサルプロンプト]セクションまでスクロールします。[App Update Ready]メッセージが表示され、Log360でユニバーサルプロンプトを有効化できるようになったことが示されます。
   
3. Log360で、[管理]タブ → [管理] → [ログイン設定] → [二段階認証]タブ → [Duo Security]に移動します。
4. Web v4 SDKをクリックし、統合キー、シークレットキー、APIホスト名の値をそれぞれクライアントID、クライアントシークレット、APIホスト名のフィールドに貼り付けます。
5. Log360でWeb v4 SDKが設定され、ユーザーがフレームレスDuo v4 SDKを介して認証されると、Duo管理パネルの[App Update Ready]メッセージが更新され、[New Prompt Ready]メッセージが表示されます。
   
6. Log360のユニバーサルプロンプトを有効にするには、[Show new Universal Prompt]を選択します。

Microsoft認証システム

Microsoft認証システムを有効化することで、ユーザーは本人確認のためにMicrosoft Authenticatorアプリを使用する必要があります。

設定手順

1. [Microsoft認証システムを有効化]をクリックします。
2. 有効化すると、ユーザーはMicrosoft Authenticatorアプリを使用して二段階認証に自分自身を登録できます。

カスタムTOTP認証システム

アプリケーションが以下の条件を満たしている場合は、IDを確認する手段としてカスタムTOTP認証システムを追加することもできます。

• アプリケーションが様々な長さ（6文字、7文字、8文字）のパスコードを提供できること。
• アプリケーションがLog360が使用するすべてのパスワードハッシュアルゴリズム（SHA1、SHA256、SHA512）をサポートしていること。

設定手順

1. [有効化 カスタムTOTP認証システム]を選択します。
2. [認証システム名]にて、認証アプリケーションの名前を入力します。
3. [パスコードの長さ]と[パスコードの有効期限]を選択します。
4. TOTP認証の[パスコードハッシュアルゴリズム]を選択します。
5. [アカウント名の形式]にて、認証システムでユーザー名が表示される形式を指定します。
6. [認証システムロゴ]を選択します。画像の形式は、PNG、JPG、JPEG、BMP、GIFをサポートしています。ロゴのサイズは45×45ピクセル以下、ファイルサイズは2MB未満にしてください。
7. [保存]をクリックします。
   

有効化すると、ユーザーは次回Log360にログインする際に、カスタムTOTP認証システムを使用して二段階認証に登録できるようになります。

RADIUS 認証

RADIUS認証は、不正アクセスからネットワークを保護することで、セキュリティを強化する業界標準のクライアント/サーバー認証プロトコルです。

設定手順

ステップ1：RADIUSをLog360と統合

1. RADIUSサーバーにログインします。
2. clients.confファイル（/etc/raddb/clients.conf）を開きます。
3. 以下のスニペットをclients.confファイルに追記します。 client Log360ServerName
{
ipaddr = xxx.xx.x.xxx
secret = <secretCode>
nastype = other
}
4. RADIUSサーバーを再起動します。

ステップ2：Log360にてRADIUSを設定

1. [有効化 RADIUS 認証]をクリックしてRADIUS認証を有効化します。
2. [サーバ名 / IPアドレス]にRADIUSサーバーのサーバー名またはIPアドレスを入力します。
3. [サーバーポート]ポート番号を入力します。
4. RADIUS認証で使用するプロトコル（[認証スキーム]）を選択します。
5. clients.confファイルに追記した[秘密キー]（Secret key）を入力します。
6. [ユーザーネームのパターン]にユーザー名パターンを入力します。
7. [要求のタイムアウト (秒)]の期間を設定します。
8. [保存]をクリックします。
   

   注記：ユーザーネームのパターンは、大文字と小文字が区別されます。RADIUSサーバーで使用しているパターン（大文字または小文字）を正確に指定してください。

バックアップ検証コード

バックアップ検証コードを有効化することで、ユーザーは自分のアプリにアクセスできない場合など、二段階認証のログインで問題が発生した場合にログイン可能となります。バックアップ検証コードを有効化すると5つのコードが生成されます。一度使用したコードは無効となり、再利用することはできません。ユーザーは、新しいコードを生成することもできます。

バックアップ検証コードの有効化

• バックアップ検証コードを有効化するには、[バックアップ検証コード]にチェックを入れます。
  

バックアップ検証コードの登録

• バックアップ検証コードを有効後、ユーザーはLog360にログインした際にコードを設定するように通知されます。[今すぐ設定]をクリックすることで、二段階認証の設定画面が表示されます。
  
• コードを表示するためには、[バックアップ検証コードを管理]をクリックします。
  
• ユーザーは、コードをテキストファイルとしてダウンロード、印刷、メールアドレスに送信、新しいコードを生成できます。
  

バックアップ検証コードを使用してログイン

1. ログイン時にバックアップ検証コードを使用するためには、[バックアップ検証コードを使用]をクリックします。
   
2. 取得済みのバックアップコードを1つを選択後、入力し、[コードを認証]をクリックしてログインします。
   

登録ユーザーの管理

管理者はユーザーが登録した認証方法を表示したり、二段階認証のユーザー登録を削除したりできます。

1. [二段階認証]タブで[登録ユーザー]をクリックします。
2. ポップアップ画面にて、二段階認証に登録されているユーザーのリストとユーザーが選択した認証方法を確認できます。
3. ユーザーを削除するためには、ユーザーを選択して[削除]アイコンをクリックします。

二段階認証の管理

二段階認証に登録しているドメインユーザーは、優先する認証方法の変更や信頼できるブラウザを管理できます。

1. 画面右上の人型アイコン → [二段階認証]をクリックします。
   
2. 認証方法を変更する場合、[認証モードを修正]をクリックします。
3. 信頼するブラウザーを管理するためには、[信用されたブラウザの管理]をクリックします。