2019年8月28日水曜日

二段階認証をGluegent Gateで実現する方法をご紹介します

先日の記事で、二段階認証(二要素認証、多要素認証)についてご紹介しました。
【5分で分かる】二段階認証とは
では実際に、Gluegent Gateではどのようにして二段階認証を実現するかをご紹介いたします。

◯ワンタイムパスワードによるGluegent Gateでの二段階認証

Gluegent Gateでは二段階認証の方式の一つとして「ワンタイムパスワード認証」をご用意しております。Gluegent Gateに標準で実装されている機能ですので、すべてのお客様に追加料金なしでご利用いただけます。
「ワンタイムパスワード認証」はiOSアプリの「Google Authenticator」、Androidアプリの「Google 認証システム」をインストールしていただき、そこに表示されたワンタイムパスワードを入力する方法(トークン)と、ユーザ情報に登録されたメールアドレス宛にメールを送信し、そこに記載されたワンタイムパスワードを入力する方法(メール認証)の2種類があります。
それぞれの利用には認証・アクセス権限ルールの設定が必要になります。

◯Gluegent Gate管理画面での設定
認証・アクセス権限でそれぞれルールを設定しているかと思います。そのルールに「ワンタイムパスワード認証(トークン)」または「ワンタイムパスワード認証(メール認証)」を選択します。
他の認証・アクセス権限ルールと併用してもいいでしょう。
ルールの設定はお客様の運用によりそれぞれ異なります。状況に合わせて設定してください。設定方法が不明な場合は、弊社サポートへご相談ください。
◯認証ルールの例
この例ではワンタイムパスワード(トークン)を選択しています。

◯アクセス権限の例
この例ではワンタイムパスワード(メール認証)を選択しています。

トークンを利用する場合、ユーザーにワンタイムパスワードの設定をさせる必要があります。この方法には、ログイン時に実施させるものと、ポータルに入って実施させる二種類があります。
前者の場合は「パスワードポリシー設定」で「ワンタイムパスワード設定初期化」のチェックをオンにします。

後者の場合は「画面設定」の「ポータルに表示する機能」の「ワンタイムパスワードの設定」のチェックをオンにします。また「ワンタイムパスワードの設定に表示するトークン」の「Google」のチェックをオンにします。

「メール認証」を使う場合は、ユーザーに設定をさせる必要はありませんが、ワンタイムパスワードのメールが通知用メールアドレスに送付されますので、ユーザ詳細画面の「通知用メールアドレス」に任意のメールアドレスを設定します。
通知用メールアドレスにはログイン対象サービスとは異なるメールアドレスを必ず設定してください。ログイン対象サービスと同じ場合、ログイン時にログイン対象のサービスにワンタイムパスワードが送られるのでログインできなくなってしまいます。

◯ユーザ側の設定(トークン)
iOS/Android端末に予めGoogle Authenticator/Google 認証システムをインストールしておきます。
サービスへのログインを行い、Gluegent Gateのログイン画面に遷移します。

2次元コードが表示されますので、Google Authenticator/Google 認証システムで読み取ります。

以降、ログイン時にはGoogle Authenticator/Google 認証システムに表示されたワンタイムパスワードを入力してログインします。

◯ユーザ側の設定(メール認証)
メール認証の場合は、ログイン時にワンタイムパスワードの入力を求められたタイミングで通知用メールアドレス(未設定時はメールアドレス)宛にワンタイムパスワードが記載されたメールが送信されます。

表示されたワンタイムパスワードを入力してログインします。

いかがでしたでしょうか。今の設定にプラスするだけでワンタイムパスワードがご利用いただけます。認証・アクセス権限ルールの設定次第で、「特定IPアドレスからアクセスした場合は、ワンタイムパスワードは不要、それ以外はワンタイムパスワードが必要」や「ユーザポータルへログインするときはワンタイムパスワードは不要」といったログイン方法の設定も可能です。
この方法を使ったセキュリティの強化をご検討ください。
(SUTO)