2段階認証の設定 - RSA SecurID

(この機能は、Enterprise Editionでのみサポートされています。)

設定の要約:

  1. Password Manager Proで2段階認証を設定
  2. Password Manager ProとRSA SecurID連携の設定
  3. PMPのユーザーに2段階認証の強制

ステップ 1:Password Manager Proで2段階認証を設定

  • [管理]タブに移動し、[2段階認証]をクリックします。
  • [RSA SecurID]を選択します。
  • 保存をクリックします。
rsa-secur-id

ステップ2: Password Manager ProとRSA SecurID連携の設定

RSA Secur ID

ご使用の環境にRSA Authentication ManagerとRSA SecurID Applianceがある場合は、それらをPassword Manager Proと連携し、RSA SecurID認証を第2段階の認証として活用できます。

RSA SecurID認証の場合、Password Manager ProはRSA APIを使用してRSA Authentication Managerと通信します。Password Manager Proは、ユーザー資格情報をRSA Authentication Managerに送信します。RSA Authentication Managerは、ステータスを検証してPassword Manager Proサーバーに戻します。

Password Manager Pro - RSA SecurID 連携

  • RSA認証マネージャ上で、PMPがインストールされているサーバーをエージェント ホストとして登録します。
  • RSA認証マネージャのコンフィグ ファイルあるいは sdconf.rec を生成します。sdconf.rec[PMP_Installation_Folder]/bin にコピーします。更に、ノードのシークレット ファイル(SecurID)が存在する場合は、それもコピーします。
  • [RSA_AGENT_HOST]のプロパティ値に、既定のアプリケーションディレクトリにある([PMP Home]\bin)RSA認証API設定ファイル(rsa_api.properties)のPMPサーバーのホスト名またはIPアドレスを入力します。
重要メモ:PMPの高可用性機能を使用している場合、上記の手順をセカンダリ サーバー上でも実行してください。

RSA SecurIDを使用した2段階認証 - イベントの流れ

認証が行われる前に、RSA Security Consoleを使用して、必要なPassword Manager ProユーザーをすべてRSA Authentication Managerに入力し、トークンを割り当てて適切なAgent Hostでアクティブにします。RSA Authentication Managerのユーザー名とPassword Manager Proのユーザー名が同じであることを確認します。すでに存在するRSAユーザーの場合、Password Manager ProとRSA Authentication Managerのユーザー名が異なる場合は、RSAで名前を編集する代わりにPassword Manager Proで名前のマッピングを実行できます。このマッピングは、Password Manager Proのユーザープロパティを編集することで実行できます。

(Password Manager Proで、Password Manager ProにADVENTNET \ robなどのユーザー名を持つActive Directoryからユーザーをインポートした場合、RSA Authentication Managerでユーザー名が「rob」と記録されているとします。通常は、Password Manager ProとRSA Authentication Managerの間にユーザー名の不一致があります。これを避けるには、Password Manager Pro - ADVENTNET \ robのマッピングをrobにマップすることができます。

次の手順では、典型的なPassword Manager Pro - RSA SecurID認証プロセスについて説明します。ユーザーは、最初にローカルのAzure AD / AD / LDAPパスワードで、次にRSA SecurIDトークンで認証する必要があります。

  1. ユーザーがPMPのWebインタフェースにアクセスしようとします。
  2. PMPはActive Directory / LDAP / ローカル認証のいずれかを使用して、ユーザーを認証します(1段階目の認証)。
  3. PMP上にユーザーとRSA SecurIDのパスコードの入力が要求され、資格情報をRSAランタイムAPI経由でRSA認証マネージャに転送します。
  4. RSA認証マネージャがユーザーを認証し、PMPへメッセージを返します。
  5. PMPはユーザーを認証し、対象となるリソースへのアクセスを許可します。

ステップ3: PMPのユーザーに2段階認証の強制

上記ステップ 1 で、2段階認証にRSA SecurIDを使用する設定を行いました。次に、2段階認証を適用するユーザーを指定します。

ユーザーに2段階認証を強制するには:

  1. ユーザータブに移動します。
  2. [その他の操作] >> [2段階認証を設定]を選択します。
  3. 2段階認証を強制するユーザーを選択します。
  4. [保存]をクリックします。
rsa-secur-id

2段階認証が有効な場合にPMPのWebインタフェースに接続する方法

2段階認証が有効になっているユーザーは、PMPにログインするために2つの認証プロセスに成功する必要があります。上記で説明した通り、最初の認証は、通常の認証と同じです。つまり、ユーザーはPMPのログイン画面からのローカル認証あるいはAD/LDAP認証を行う必要があります。管理者が設定した2段階認証のタイプによって、2段階目の認証は次のように異なります;

  1. Password Manager Pro Webインターフェイスを起動すると、ユーザーはPassword Manager Proにログインして「ログイン」をクリックするために、ユーザー名とローカル認証またはAD / LDAPパスワードを入力する必要があります。
  2. テキストフィールド "RSA Passcode"に対して、RSA SecurIDパスコードを入力します。パスコードは、RSA Authentication Managerで行われた設定に応じて、PINとTokencodeの組み合わせ、またはTokencode単体でもオンデマンドPINでもかまいません。
  3. RSAオンデマンドオーセンティケータを利用する場合は、「RSAオンデマンド」を選択して続行します。この場合、下記のケース3で指定されたOn-Demand Tokencodeを与える必要があります。

SecurIDを使用した2段階認証 - Password Manager Proにログインする際のさまざまなシナリオ

ケース 1:ユーザーが生成した、またはシステムが作成したPIN

前述のように、RSAパスコードは、PINとトークンコードの組み合わせ、またはトークンコード単体でも、パスワードはRSA Authentication Managerで行われた設定に応じてパスワードでもかまいません。RSA Security Consoleの設定で、ユーザーがPINを作成するか、システムで生成されたPINを使用するように要求された場合は、手順2の後にユーザーに次の画面が表示されます(最初のパスワードとRSA tokencodeを入力した後in Password Manager Pro)を起動します。

ユーザーが作成したPIN

ユーザーが作成したPINの場合、ユーザーは自分でPINを入力するオプションを取得します。PINには、最小4文字、最大8文字の数字を含める必要があります。PINを入力すると、ユーザーはRSAトークンコードが新しい値に変わるまでしばらく待たなければなりません。次に、次の画面で、認証する新しいPINとRSAトークンコードを入力します。

システムが作成したPIN

システムで作成されたPINの場合、Password Manager Pro自体がランダムにPINを生成し、それが画面に表示されます。ユーザーは新しいPINをメモし、RSA tokencodeが新しい値に変わるまでしばらく待たなければなりません。次に、次の画面では、システムによって生成された新しいPINと、認証するためのRSAトークンコードを入力する必要があります。

ケース 2:新規トークンコード モード

ユーザがランダムなRSAパスコードを使用してPassword Manager Proにログインしようとすると、指定した時間だけ推測すると、RSA認証マネージャは次のトークンコードモードに切り替わり、ユーザがトークンを所有しているかどうかを確認します。その場合、PMPはログイン中に次のトークンコードを要求します。つまり、RSAデバイスに新しいトークンコードが表示され、新しいコードがPassword Manager Proにログインするまで待つ必要があります。

メモ:ユーザーが入力した新しいトークンコードが間違っている場合、最初のログイン画面に戻ります。この場合、ユーザーはユーザー名を入力するところからやり直す必要があります。

システムが作成したPIN

RSA On-Demandオーセンティケータが設定されている場合は、Tokencodeを指定してPassword Manager Proにログインする必要があります。Tokencodeは、RSAオンデマンド認証システムで設定された登録済みの電子メールIDまたは携帯電話番号に送信されます。

高可用性が設定されている場合

2段階認証を有効化する場合、もしくは、2段階認証のタイプ(PhoneFactor/RSA SecurID/ワンタイム パスワード)を変更し高可用性が設定されているシステムの場合、PMPのセカンダリ サーバーを再起動する必要があります。