PhoneFactor認証

（この機能は、Enterprise Editionでのみサポートされています。）

概要

ManageEngineは、電話ベースの2段階認証のリーディンググローバルプロバイダーである PhoneFactor のパートナーです。そのため、シンプルで効果的な2段階認証をPassword Manager Proで実現することができます。ManageEngineとPhoneFactorのシームレスな統合により、PhoneFactorの認証サービスをPMPから利用することができます。

PhoneFactorはログイン処理中にユーザーの電話へ確認コールを行います。1段階目の認証（通常の認証）に成功し、2段階目の認証に移行すると、PhoneFactorから電話がかかります。電話を受け、＃またはPINを入力し、電話ベースの認証を行います。

次に、PhoneFactor認証のイベントシーケンスについて説明します；

ユーザーがPMPのWebインタフェースを開こうとします。
PMPはActive Directory / LDAP / ローカル認証のいずれかを使用して、ユーザーを認証します（1段階目の認証）。
PMPはユーザーに対し、2段階目の認証をPhoneFactorで行うよう促します。
PhoneFactorから電話がかかります。電話に応答し、＃またはPINを入力します。
PMPはユーザーを認証し、Webインタフェースへのアクセスを許可します。

PhoneFactor認証を有効化する

必要条件

PhoneFactor認証を有効化するには、PhoneFactorを購入している必要があります。詳細は PhoneFactorのWebサイトをご参照ください。PhoneFactorの入手後、認証手段を決定します - PhoneFactorエージェントをインストールする、あるいはPhneFactor Direct SDKを配置する、からいづれかをお選びください。

PhoneFactorとPMPの連携の仕組み

ユーザーの電話番号を入力することで、ユーザーと電話番号の関連付けを行います。PhoneFactorエージェントモードでは、電話番号を含むユーザーの情報はエージェント側で処理されます。Direct SDKモードでは、電話番号はPMPのデータベースで管理されます。ユーザーがPMPへのログインを試行すると、PhoneFactorはそのユーザーに紐付けられた電話番号へ電話を発信します。

PhoneFactorを利用して2段階認証を有効にするには、次の手順に従います；

手順の概要

PMPで2段階認証を設定する。
PhoneFactor認証の種類を決定し、関連する設定を行う。
PMPのユーザーに2段階認証を強制する。

ステップ1：PMPで2段階認証を設定する

初めに、2段階認証を有効にします。次の手順に従ってください；

[管理]タブに移動し、[2段階認証]をクリックします。
オプション[PhoneFactor]を選択します。

メモ：次に進む前に、PhoneFactorを利用した2段階認証を適用するすべてのユーザーの電話番号が入力されていることを確認してください。PhoneFactor認証に使用されるプライマリ番号として、固定電話回線、携帯電話回線のどちらを使用することもできます。

固定電話回線は次のフォーマットで入力します；

[国別コード] [市外局番を含む電話番号] [内線番号（任意）]

例： 81 12345678 123

携帯電話回線は次のフォーマットで入力します；

[国別コード][携帯電話番号]

ステップ2：認証方式の選択

PhoneFactorエージェント、PhoneFactor Direct SDKのいずれかを選択します。

PhoneFactorエージェント

PhofeFactorエージェントは、ネットワーク上のWindowsサーバーで動作します。エージェントには設定ウィザードが用意されており、Password Manager ProとPhoneFactorがうまく動作するためのセットアップ処理をサポートします。また、PhoneFactorエージェントとActive DirectoryやLDAPサーバーを統合し、集中的なユーザーの設定準備（プロビジョニング）およびユーザー管理を実現することが可能です。すべてのユーザーデータは企業ネットワーク内部に安全に保管されます。レポートや監査用に、高度なログ機能を有します。

Direct SDK

エージェントを使用せずにPhoneFactor Direct SDKを使用することもできます。Direct SDKは、Password Manager Proと融合し、既存のユーザーデータベースを活用していきます。

メモ：上述した選択肢の中でPhoneFactorエージェントは、認証時にPINの入力をサポートします。Direct SDKモードでは、ユーザー認証時にユーザーはPINを入力せず、＃を入力します。

PhoneFactorエージェントを配置する場合

（メモ:PhoneFactorエージェントをインストール済みの場合、ステップ 1 は実行せずにステップ 2 へお進みください）

PhoneFactorエージェントとWeb Services SDKを取得し、ネットワーク上のWindowsサーバーにインストールします。インストールウィザードが起動するので、インストール作業を実行します。

ステップ1：PhoneFactorエージェントの設定

ユーザーの電話番号はPhoneFactorエージェントが管理するため、エージェントのインストール後に、PhoneFactor認証を使用するすべてのPMPユーザーおよびその電話番号をエージェントに登録する必要があります。また、Active Directory/LDAPとPhoneFactorエージェントを統合してユーザーを自動的にインポートすることもできます。PMPのローカル認証を使用している場合、PMPのユーザーを手動でPhoneFactorに登録し、各ユーザーの電話番号を入力します。
PhoneFactorエージェントにユーザーを追加する際には、PhoneFactorのユーザー名とPMPのユーザー名が一致するようにしてください。（PMPは、PhoneFactorで認証されたユーザー名のユーザーを認証します。そのため、PhoneFactorエージェントに入力するユーザー名を間違えないようにご注意ください。）
ユーザーのインポートが完了したら、電話番号が正しい書式で入力されていることを確認してください。

重要メモ：ユーザー情報と電話番号はPhoneFactorエージェントが管理します。つまり、ユーザーはエージェントに登録されている電話番号で電話を受信します。ユーザーの電話番号を変更する際には、PhoneFactorエージェントに登録されている番号を編集します。同様に、PMPに新規ユーザーを登録する際にPhoneFactorを使用した2段階認証が有効な場合、同じユーザーをPhoneFactorエージェントにも追加する必要があります。PhoneFactorエージェントにユーザーが登録されていないと、PhoneFactorを使用した2段階認証が動作しません。

ステップ2：PMPの設定

PMPの2段階認証の設定画面にて、認証方法として[PhoneFactorエージェント]を選択します。
PhoneFactorにアクセスするための資格情報を入力します。ユーザー名、パスワード、そしてPhoneFactorエージェントが動作しているホストのURLが必要です。
PMPとPhoneFactorエージェントが稼働しているホスト間の通信はSSLで暗号化されます。そのため、Web Services SDKをインストールする際に指定したSSL証明書をPMPにインストールする必要があります。

PhoneFactorエージェントとWeb Services SDKのインストールの際に使用する証明書は、自己署名のSSL証明書、あるいは既存の内部認証機関を使用します。ここで、PMPでCAルートをインポートします。サードパーティCAで署名された証明書を使用する場合、このステップは行わずに次のステップへ進んでください。

CAルートをインポートするには；

[PMP_Installation_Folder]/binディレクトリに移動します。
次のコマンドを実行します：importPhoneFactorCert.bat（Windowsシステム）、または、importPhoneFactorCert.sh（Linuxシステム）

Windows

自己署名証明書の場合；

importPhoneFactorCert.bat [自己署名証明書の絶対パス]

証明書を所有している、または内部CAが利用できる場合；

importPhoneFactorCert.bat [CAルートの絶対パス]

Linux

自己署名証明書の場合；

sh importPhoneFactorCert.sh [自己署名証明書の絶対パス]

証明書を所有している、または内部CAが利用できる場合；

sh importPhoneFactorCert.sh [CAルートの絶対パス]

PMPサーバーを再起動します。
上記の手順を実行すると、CAルートがPMPに記録されます。今後、指定したCAによって署名されたすべての証明書が自動的に取得されます。
ステップ 3に進みます。 - PMPのユーザーに2段階認証を強制します。

メモ：インターネットへの接続にプロキシサーバーを介する必要がある環境では、PMPからPhoneFactorのWebサイトへの接続を可能にするために、プロキシの設定を行います。（[管理] >> [一般] >> [プロキシサーバー設定]）

PMPの高可用性が設定されている場合：PMPセカンダリサーバーの設定（PhoneFactorエージェントモード）

PMPの高可用性が設定されており、PhoneFactorエージェントを使用する場合、次の設定をPMPセカンダリサーバー上で実行します。 CAルートをインポートする上記手順をPMPセカンダリでも行います。サードパーティCAで署名された証明書を使用する場合、このステップは行わずに次のステップへ進んでください。

PhoneFactor Direct SDKを利用する場合

ステップ1： SDKの設定

PMPにはPhoneFactor jarファイルがバンドルされています。そのため、PhoneFactorを購入し、次のステップ２で説明するライセンス情報の入力が必要となります。

ステップ2： PMPの設定

次に進む前に、PhoneFactorを利用した2段階認証を適用するすべてのユーザーの電話番号が入力されていることを確認してください。そして、電話番号が正しい書式で入力されていることを確認してください。PhoneFactorエージェントとの大きな違いは、Direct SDKではユーザーの電話番号はPMPで管理される点です。
PhoneFactorのGUI上で、PhoneFactorライセンスファイルのパス、PhoneFactor証明書と秘密鍵のパスワードを入力します。（これらのファイルはPhoneFactor SDKフォルダに存在します。）
ステップ 3に進みます。 - PMPのユーザーに2段階認証を強制します。

PMPの高可用性が設定されている場合：PMPセカンダリサーバーの設定（PhoneFactor Direct SDK モード）

PMPの高可用性が設定されており、PhoneFactor Direct SDKモードを使用する場合、次の設定をPMPセカンダリサーバー上で実行します；

[PMP-Primary-Installation]/licensesフォルダを開きます。
ファイル [license.xml]と[cert.p12]をコピーします。
そして、[PMP-Secondary-Installation]/licensesフォルダを開きます。
プライマリサーバーでコピーした2つのファイルを配置します。

ステップ3：対象のユーザーに2段階認証を強制する

ステップ1と2で、2段階認証にPhoneFactorを使用する設定を行いました。次に、2段階認証を適用するユーザーを指定します。

ユーザーに2段階認証を強制するには；

[管理]タブを開き、[ユーザー]カテゴリの[ユーザー]をクリックします。
[その他の操作] >> [2段階認証を設定]を選択します。
2段階認証を強制するユーザーを選択します。
[保存]をクリックします。

PhoneFactor認証による2段階認証が有効な場合にPMPのWebインタフェースに接続する方法

2段階認証が有効になっているユーザーは、PMPにログインするために2つの認証プロセスに成功する必要があります。最初の認証は、通常の認証と同じです。つまり、ユーザーはPMPのログイン画面からローカル認証あるいはAD/LDAP認証を行う必要があります。

2段階認証が有効な場合、ログイン画面上にはユーザー名を入力するフィールドだけが表示されます。次のステップで、ユーザーはパスワード入力を要求されます。

PhoneFactorによる2段階認証のワークフロー

管理者がPhoneFactorによる2段階認証を設定した場合、次の2段階認証プロセスが実行されます；

ユーザーはPMPのWeb画面（ログイン画面）にアクセスし、ユーザー名を入力して [ログイン]ボタンをクリックします。
[パスワード]に、ローカル認証用またはAD/LDAP認証用のパスワードを入力します。

1段階目の認証に成功したら、PhoneFactorからの電話を待ちます。
電話に応答し、＃またはPINを入力します。PhoneFactorによる認証が行われます。

高可用性が設定されている場合

2段階認証を有効化した、もしくは、2段階認証のタイプ（PhoneFactor/RSA SecurID/ワンタイムパスワード）を変更したシステムにおいて高可用性が設定されている場合、PMPのセカンダリサーバーを再起動する必要があります。