PhoneFactor認証
(この機能は、Enterprise Editionでのみサポートされています。)
概要
ManageEngineは、電話ベースの2段階認証のリーディング グローバル プロバイダーである PhoneFactor のパートナーです。そのため、シンプルで効果的な2段階認証をPassword Manager Proで実現することができます。ManageEngineとPhoneFactorのシームレスな統合により、PhoneFactorの認証サービスをPMPから利用することができます。
PhoneFactorはログイン処理中にユーザーの電話へ確認コールを行います。1段階目の認証(通常の認証)に成功し、2段階目の認証に移行すると、PhoneFactorから電話がかかります。電話を受け、#またはPINを入力し、電話ベースの認証を行います。
次に、PhoneFactor認証のイベント シーケンスについて説明します;
- ユーザーがPMPのWebインタフェースを開こうとします。
- PMPはActive Directory / LDAP / ローカル認証のいずれかを使用して、ユーザーを認証します(1段階目の認証)。
- PMPはユーザーに対し、2段階目の認証をPhoneFactorで行うよう促します。
- PhoneFactorから電話がかかります。電話に応答し、#またはPINを入力します。
- PMPはユーザーを認証し、Webインタフェースへのアクセスを許可します。
PhoneFactor認証を有効化する
必要条件
PhoneFactor認証を有効化するには、PhoneFactorを購入している必要があります。詳細は PhoneFactorのWebサイト をご参照ください。PhoneFactorの入手後、認証手段を決定します - PhoneFactorエージェントをインストールする、あるいはPhneFactor Direct SDKを配置する、からいづれかをお選びください。
PhoneFactorとPMPの連携の仕組み
ユーザーの電話番号を入力することで、ユーザーと電話番号の関連付けを行います。PhoneFactorエージェント モードでは、電話番号を含むユーザーの情報はエージェント側で処理されます。Direct SDKモードでは、電話番号はPMPのデータベースで管理されます。ユーザーがPMPへのログインを試行すると、PhoneFactorはそのユーザーに紐付けられた電話番号へ電話を発信します。
PhoneFactorを利用して2段階認証を有効にするには、次の手順に従います;
手順の概要
- PMPで2段階認証を設定する。
- PhoneFactor認証の種類を決定し、関連する設定を行う。
- PMPのユーザーに2段階認証を強制する。
ステップ1:PMPで2段階認証を設定する
初めに、2段階認証を有効にします。次の手順に従ってください;
- [管理]タブに移動し、[2段階認証]をクリックします。
- オプション[PhoneFactor]を選択します。
固定電話回線は次のフォーマットで入力します;
[国別コード] [市外局番を含む電話番号] [内線番号(任意)]
例: 81 12345678 123
携帯電話回線は次のフォーマットで入力します;
[国別コード][携帯電話番号]
ステップ2:認証方式の選択
PhoneFactorエージェント、PhoneFactor Direct SDKのいずれかを選択します。
PhoneFactorエージェント
PhofeFactorエージェントは、ネットワーク上のWindowsサーバーで動作します。エージェントには設定ウィザードが用意されており、Password Manager ProとPhoneFactorがうまく動作するためのセットアップ処理をサポートします。また、PhoneFactorエージェントとActive DirectoryやLDAPサーバーを統合し、集中的なユーザーの設定準備(プロビジョニング)およびユーザー管理を実現することが可能です。すべてのユーザー データは企業ネットワーク内部に安全に保管されます。レポートや監査用に、高度なログ機能を有します。
Direct SDK
エージェントを使用せずにPhoneFactor Direct SDKを使用することもできます。Direct SDKは、Password Manager Proと融合し、既存のユーザー データベースを活用していきます。
PhoneFactorエージェントを配置する場合
(メモ:PhoneFactorエージェントをインストール済みの場合、ステップ 1 は実行せずにステップ 2 へお進みください)
PhoneFactorエージェント とWeb Services SDKを取得し、ネットワーク上のWindowsサーバーにインストールします。インストールウィザードが起動するので、インストール作業を実行します。
ステップ1:PhoneFactorエージェントの設定
- ユーザーの電話番号はPhoneFactorエージェントが管理するため、エージェントのインストール後に、PhoneFactor認証を使用するすべてのPMPユーザーおよびその電話番号をエージェントに登録する必要があります。また、Active Directory/LDAPとPhoneFactorエージェントを統合してユーザーを自動的にインポートすることもできます。PMPのローカル認証を使用している場合、PMPのユーザーを手動でPhoneFactorに登録し、各ユーザーの電話番号を入力します。
- PhoneFactorエージェントにユーザーを追加する際には、PhoneFactorのユーザー名とPMPのユーザー名が一致するようにしてください。(PMPは、PhoneFactorで認証されたユーザー名のユーザーを認証します。そのため、PhoneFactorエージェントに入力するユーザー名を間違えないようにご注意ください。)
- ユーザーのインポートが完了したら、電話番号が正しい書式で入力されていることを確認してください。
ステップ2:PMPの設定
- PMPの2段階認証の設定画面にて、認証方法として[PhoneFactorエージェント]を選択します。
- PhoneFactorにアクセスするための資格情報を入力します。ユーザー名、パスワード、そしてPhoneFactorエージェントが動作しているホストのURLが必要です。
- PMPとPhoneFactorエージェントが稼働しているホスト間の通信はSSLで暗号化されます。そのため、Web Services SDKをインストールする際に指定したSSL証明書をPMPにインストールする必要があります。
PhoneFactorエージェントとWeb Services SDKのインストールの際に使用する証明書は、自己署名のSSL証明書、あるいは既存の内部認証機関を使用します。ここで、PMPでCAルートをインポートします。サードパーティCAで署名された証明書を使用する場合、このステップは行わずに次のステップへ進んでください。
CAルートをインポートするには;
- [PMP_Installation_Folder]/binディレクトリに移動します。
- 次のコマンドを実行します:importPhoneFactorCert.bat(Windowsシステム)、または、importPhoneFactorCert.sh(Linuxシステム)
- PMPサーバーを再起動します。
- 上記の手順を実行すると、CAルートがPMPに記録されます。今後、指定したCAによって署名されたすべての証明書が自動的に取得されます。
- ステップ 3に進みます。 - PMPのユーザーに2段階認証を強制します。
Windows
自己署名証明書の場合;
importPhoneFactorCert.bat [自己署名証明書の絶対パス]
証明書を所有している、または内部CAが利用できる場合;
importPhoneFactorCert.bat [CAルートの絶対パス]
Linux
自己署名証明書の場合;
sh importPhoneFactorCert.sh [自己署名証明書の絶対パス]
証明書を所有している、または内部CAが利用できる場合;
sh importPhoneFactorCert.sh [CAルートの絶対パス]
PMPの高可用性が設定されている場合:PMPセカンダリ サーバーの設定(PhoneFactorエージェント モード)
PMPの高可用性が設定されており、PhoneFactorエージェントを使用する場合、次の設定をPMPセカンダリ サーバー上で実行します。 CAルートをインポートする上記手順 をPMPセカンダリでも行います。サードパーティCAで署名された証明書を使用する場合、このステップは行わずに次のステップへ進んでください。
PhoneFactor Direct SDKを利用する場合
ステップ1: SDKの設定
PMPにはPhoneFactor jarファイルがバンドルされています。そのため、PhoneFactorを購入し、次のステップ2で説明するライセンス情報の入力が必要となります。
ステップ2: PMPの設定
- 次に進む前に、PhoneFactorを利用した2段階認証を適用するすべてのユーザーの電話番号が入力されていることを確認してください。そして、電話番号が正しい書式で入力されていることを確認してください。PhoneFactorエージェントとの大きな違いは、Direct SDKではユーザーの電話番号はPMPで管理される点です。
- PhoneFactorのGUI上で、PhoneFactorライセンスファイルのパス、PhoneFactor証明書と秘密鍵のパスワードを入力します。(これらのファイルはPhoneFactor SDKフォルダに存在します。)
- ステップ 3に進みます。 - PMPのユーザーに2段階認証を強制します。
PMPの高可用性が設定されている場合:PMPセカンダリ サーバーの設定(PhoneFactor Direct SDK モード)
PMPの高可用性が設定されており、PhoneFactor Direct SDKモードを使用する場合、次の設定をPMPセカンダリ サーバー上で実行します;
- [PMP-Primary-Installation]/licensesフォルダを開きます。
- ファイル [license.xml]と[cert.p12]をコピーします。
- そして、[PMP-Secondary-Installation]/licensesフォルダを開きます。
- プライマリ サーバーでコピーした2つのファイルを配置します。
ステップ3:対象のユーザーに2段階認証を強制する
ステップ1と2で、2段階認証にPhoneFactorを使用する設定を行いました。次に、2段階認証を適用するユーザーを指定します。
ユーザーに2段階認証を強制するには;
- [管理]タブを開き、[ユーザー]カテゴリの[ユーザー]をクリックします。
- [その他の操作] >> [2段階認証を設定]を選択します。
- 2段階認証を強制するユーザーを選択します。
- [保存]をクリックします。
PhoneFactor認証による2段階認証が有効な場合にPMPのWebインタフェースに接続する方法
2段階認証が有効になっているユーザーは、PMPにログインするために2つの認証プロセスに成功する必要があります。最初の認証は、通常の認証と同じです。つまり、ユーザーはPMPのログイン画面からローカル認証あるいはAD/LDAP認証を行う必要があります。
2段階認証が有効な場合、ログイン画面上にはユーザー名を入力するフィールドだけが表示されます。次のステップで、ユーザーはパスワード入力を要求されます。
PhoneFactorによる2段階認証のワークフロー
管理者がPhoneFactorによる2段階認証を設定した場合、次の2段階認証プロセスが実行されます;
- ユーザーはPMPのWeb画面(ログイン画面)にアクセスし、ユーザー名を入力して [ログイン]ボタンをクリックします。
- [パスワード]に、ローカル認証用またはAD/LDAP認証用のパスワードを入力します。
- 1段階目の認証に成功したら、PhoneFactorからの電話を待ちます。
- 電話に応答し、#またはPINを入力します。PhoneFactorによる認証が行われます。
高可用性が設定されている場合
2段階認証を有効化した、もしくは、2段階認証のタイプ(PhoneFactor/RSA SecurID/ワンタイム パスワード)を変更したシステムにおいて高可用性が設定されている場合、PMPのセカンダリ サーバーを再起動する必要があります。