RSA SecurIDを使用した二要素認証の設定

ご利用の環境にRSA Authentication ManagerおよびRSA SecurID Applianceがある場合、PAM360でRSA SecurIDを使用した二要素認証（TFA）を設定できます。これで、RSA SecurIDの認証要素をログインのセキュリティで第2レイヤとして利用できます。

以下は、PAM360で、TFAをRSA SecurIDでセットアップする手順です：

1. RSA SecurIDのPAM360との連携
2. RSA SecurIDをTFAとして使用したPAM360 Webインターフェースへの接続

1.RSA SecurIDのPAM360との連携

下の手順にしたがって、RSA SecurIDをPAM360と連携できます：

1. PAM360 ServerをRSA Authentication Managerでエージェントホストとして登録します。
2. RSA認証マネージャー設定ファイルを生成するか、またはsdconf.recをRSAマネージャーで生成します。
3. sdconf.recをコピーして<PAM360-Installation-Directory>\binフォルダに貼り付けます。さらに、ノードシークレットファイル（securid）が存在する場合は、そちらもコピー＆ペーストしてください。
4. RSA認証API設定ファイル（rsa_api.properties）で、RSA_AGENT_HOSTプロパティの値をPAM360のサーバーホスト名またはIPアドレスに編集します。このファイルはデフォルトのアプリケーションフォルダ（<PAM360-Installation-Directory>\bin）に配置されます。

   追加情報

   PAM360の高可用性機能を使用している場合は、セカンダリサーバーのインストール先でも上記の手順を実行する必要があります。

1.1 PAM360ユーザーのRSA Authentication Managerへのマッピング

二要素認証を行う前に、RSAセキュリティコンソールを使って、すべての必要なPAM360ユーザーをRSA Authentication Managerに入力し、トークンをそこに割り当て、適切なエージェントホストでアクティブ化します。

RSA Authentication Managerのユーザー名と、PAM360の対応するユーザー名が一致していることを確認してください。既存のRSAユーザーについて、PAM360とRSA Authentication Managerの間でユーザー名が一致しない場合は、ユーザープロパティを編集することでPAM360内で正しいユーザー名をマッピングできます。
例えば、ユーザーを名前'ZYLKER\rob'でDirectoryからPAM360とRSA Authentication Managerにインポートした場合、ユーザー名は'rob'として記録され、不一致が生じます。これを避けるため、PAM360でユーザー名を編集し、名前'ZYLKER\rob'が'rob'にマッピング)を取得します

以下のシーケンスは、PAM360とRSA SecurIDとの間の認証プロセスを説明しています：

1. ユーザーが初めてPAM360へのアクセスを試みる際、ADまたはLDAPまたはローカルで認証が行われます。
2. PAM360は、ユーザーにユーザー名とRSA SecurIDパスコードを求めます。これらは両方とも、RSA Authentication ManagerにRSA Runtime API経由で送信されます。
3. 続いて、RSA Authentication Managerがユーザーを認証し、PAM360にメッセージを返します。
4. PAM360は、リクエストされたリソースにユーザーアクセス権を付与します。

2.RSA SecurIDをTFAとして使用したPAM360 Webインターフェースへの接続

TFAがアカウントについて有効になっているユーザーは、ログイン中、2回連続で認証する必要があります。上記のとおり、第一レベルの認証はPAM360のローカル認証またはAD/Entra ID/LDAP認証を通じて行われます。管理者が選択したTFAのタイプによって、認証の第2レベルは下の説明のとおり、異なります：

1. PAM360のログインページで、第1レベルの認証を進め、「Login」をクリックします。
   
2. RSA Passcodeテキストフィールドで、RSA SecurIDパスコードを入力します。パスコードは、RSA Authentication Managerでの設定に応じて、PINとトークンコードの組み合わせ、トークンコード単体、あるいはオンデマンドPINのいずれかとなります。
3. RSAオンデマンドオーセンティケーターを活用する場合は、RSA On-Demandを選択し、トークンコードで続行してください。これを機能させるには、PAM360でRSA SecurIDをTFAとして有効化する際に、管理者がそのオプションを選択している必要があります。

2.1 RSA SecurIDを使用したログインシナリオ

ケース 1：ユーザー生成またはシステム生成PINの入力

上記のとおり、RSAパスコードは、RSA Authentication Managerで行った設定により、PINとトークンコードの組み合わせまたはトークンコードのみ、あるいはパスワードにできます。RSAセキュリティコンソールの設定でユーザーが独自のPINを作成するか、またはシステム生成PINを使用することがリクエストされている場合、手順2の後（すなわち、最初のパスワードとRSAトークンコードを入力してPAM360にログインした後）、ユーザーには以下のオプションが表示されます。

1. ユーザー生成PIN：ユーザーが作成したPINの場合、ユーザーには自分でPINを入力するオプションが表示されます。PINには数字のみ使用可能で、最小4文字、最大8文字とする必要があります。PINの入力後、ユーザーは、RSAトークンコードが新しい値に変更されるまで、しばらく待つ必要があります。続いて、次の画面で、新しいPINとRSAトークンコードを入力して認証します。
2. システム生成PIN：システムが作成したPINの場合、PAM360自体がランダムにPINを生成し、画面に表示されます。ユーザーはその新しいPINをメモし、RSAトークンコードが新しい値に変更されるまでしばらく待ちます。続いて、次の画面で、システムが生成した新しいPINとRSAトークンコードを入力して認証します。

ケース 2：新しいトークンコードモードの使用

ユーザーがランダムなRSAパスコードまたは推測によって指定された回数PAM360へのログインを試みた場合、RSA Authentication Managerは、ユーザーがトークンを所持しているかどうかを確認するために画面を新しいトークンコードモードに切り替えます。その場合、PAM360は、ログイン中、次のトークンコードを求めます。これは、RSA装置が新しいトークンコードと新しいコードを表示して、PAM360へのログインに進むまで、ユーザーは待機する必要があるということです。

ケース 3：トークンコードモードの使用

RSAオンデマンドオーセンティケーターが設定されている場合、PAM360にログインするにはトークンコードを入力する必要があります。トークンコードは、RSAオンデマンド認証システムで設定したとおり、登録したメールIDまたは携帯電話番号に送信されます。