二段階認証の設定

PAM360 は、企業リソースの機密管理パスワードを暗号化されたデータとしてデータベースに安全に保存します。以前は、このデータへのアクセスは、PAM360 のローカル認証や、Active Directory (AD)、Microsoft Entra ID、LDAP などのサードパーティ ID ストアなどの単一レベルの認証に依存していました。PAM360 は、単一レベルの認証に加えて、二段階認証 (TFA) をサポートしており、ユーザーが Web インターフェースにアクセスするために 2 つの連続した認証段階を通過することを要求することで、セキュリティを強化します。最初の段階ではネイティブ認証または AD/Entra ID/LDAP 検証が行われ、2 番目の段階ではセクション 1で詳述されている認証方法のいずれかを使用して構成できます。

二段階認証システムの PAM360 での仕組み

  1. ユーザーが PAM360 Web インターフェースにアクセスしようとします。
  2. PAM360 は、1段階目の認証要素(ローカル認証、RADIUS 認証、スマート カード認証、または AD/Microsoft Entra ID/LDAP 認証)を通じてユーザーを認証します。
  3. 初期認証が成功すると、PAM360 は設定された TFA 認証システムを通じてユーザーに 2段階目の認証要素の入力を要求します。
  4. ユーザーは、認証アプリを介して認証要求を承認するか、アプリによって生成された 6 桁のコードを入力します。
  5. 2段階目の要素の検証が成功すると、PAM360 はユーザーに Web インターフェースへのアクセスを許可し、さらなる操作を可能にします。
two-factor-authentication

本書を読み終えると、以下のトピックについて理解が深まります:

  1. PAM360で利用可能な二段階認証の方法
  2. PAM360 で二段階認証を有効化
  3. PAM360 ユーザーへの二段階認証の強制
  4. PAM360 で二段階認証をリセット

1. PAM360で利用可能な二段階認証の方法

TFA を有効にする前に、使用する認証方法を決定します。現在、PAM360 は次の方法で TFA をサポートしています。

それぞれのリンクをクリックして詳細を確認し、それぞれのインターフェースから必要な TFA の設定を続行してください。

2.PAM360 で二段階認証を有効化

TFA を有効にし、PAM360 で認証の 2 番目の要素として認証方法 (RSA SecurID、Duo、Microsoft、Google、またはワンタイム パスワード) を構成するには、次の手順に従います。

  1. [管理] >> [認証] >> [2段階認証] に移動します。
    two-factor-authentication1
  2. 使用する認証方法を選択し、[保存] をクリックします。
  3. 表示されるポップアップ ボックスで [確認] をクリックし、認証中に行われるデータ転送を確認します。
  4. 表示される [Enable Authentication] ウィンドウで、TFA を有効にするユーザーを選択します。
    two-factor-authentication2

    メモ:

    また、[ユーザー] タブから直接ユーザーに TFA を適用することもできます。手順については次のセクションを参照してください。

    これで、PAM360 のユーザーに対して TFA が正常に有効化されました。

メモ:

二段階認証は、ステップ 2 で強制されるユーザーにのみ適用されます。他のすべてのユーザーは、通常の方法でPAM360にログインできます。


3.PAM360 ユーザーへの二段階認証の強制

TFA メソッドを有効にすると、次の手順を使用して、必要に応じて、または希望するときにユーザーにそれを強制できます。

  1. [ユーザー] タブに移動し、[その他の操作] >> [設定] >> [2段階認証を設定] を選択します。
    two-factor-authentication3
  2. 表示されるウィンドウで、単一のユーザーまたは複数のユーザーに対して TFA を一括して有効または無効にすることができます。
    1. 単一ユーザーにTFAを有効にするには、各ユーザー名の横の[無効]ボタンをクリックします。
    2. 複数のユーザーに対して TFA を有効にするには、必要なユーザー名を選択し、ユーザー リストの上部にある [有効] ボタンをクリックします。同様に、その隣のボタンでユーザーの TFA を[無効]にすることもできます。

4.PAM360 で二段階認証をリセット

この手順はビルド5304以降に適用されます

PAM360 では、管理者および適切な権限を持つユーザーが TFA をリセットできます。以下は、PAM360 で TFA をリセットする手順を説明したセクションです。

メモ:

この機能は、Google Authenticator、Microsoft Authenticator、Oracle Authenticator、Zoho OneAuth Authenticator、YubiKeyOkta Verify の認証方法でのみ利用できます。


4.1 特定のユーザーの二段階認証をリセット

  1. PAM360 に管理者としてログインし、[ユーザー] タブに移動します。
  2. 目的のユーザーの横にある [ユーザー アクション] アイコンをクリックし、[二段階認証のリセット] をクリックします。
    tfa-reset-1
  3. 表示されるポップアップで、[変更]をクリックします。
    tfa-reset-2

これで、ユーザーは PAM360 にログインするときに TFA を再設定できるようになります。

4.2 ユーザーの二段階認証のリセットの許可

  1. PAM360 に管理者としてログインし、[管理] >> [カスタマイズ] >> [一般設定] >> [ユーザー管理] に移動します。
  2. [ユーザによるTFA認証のリセットを許可する] チェックボックスをオンにして、[保存] をクリックします。
    tfa-reset-3

これにより、ユーザーは自分で TFA をリセットして再設定できるようになります。

4.3 パスワード ユーザーとして二段階認証をリセット

  1. PAM360 にログインするためのユーザー名パスワードを指定します。
  2. [Have trouble using <enabled TFA>?] をクリックします。(例:Have trouble using Microsoft Authenticator?)
    tfa-reset-4
  3. 表示されるポップアップで、[User Name][E-mail]を指定して、[Send] をクリックします。
    tfa-reset-5
  4. TFA を設定するためのリンクが上記のメールアドレスに送信されます。
  5. メールを開き、リンクをクリックして TFA をリセットします。TFA がリセットされると、画面に成功メッセージが表示されます。
  6. これで、PAM30 Web インターフェースにログインし、TFA を再設定できるようになります。
    tfa-reset-6