みなさんこんにちは、技術2課の山田です。
今回は 株式会社アイピーキューブ さんが提供している Authway で、 WorkSpaces へ MFAを導入する方法をご紹介します。
Authway とは ?
ワンタイムパスワード(OTP)認証システム「AuthWay」(オースウェイ)は、より高度なセキュリティを担保するワンタイムパスワード認証機能を提供する製品です。AuthWayを導入することにより、堅牢で強固な認証基盤を低コストで構築・運用することができます。
Authway
http://www.ip3.co.jp/product/authway.html
ハードウェアトークンでのワンタイムパスワード認証はもちろん、この Authway は トークンレス(ハードウェアトークン無し)でもワンタイムパスワードの発行が可能で、トークンの盗難/紛失を防止、配布や回収といった手間を省く事ができます。
トークンレス方式のワンタイムパスワード発行方法として メールベース/ウェブベース とあるのですが、この記事では メールでワンタイムパスワードを発行して認証する手順 を解説します。
なお、ユーザの WorkSpaces は既に作成/起動していること前提に話を進めます。
Authwayを導入した際の全体図
※ 詳細は省略してあります
導入手順
AWS (もしくは、オンプレミス) 上にAuthwayサーバを構築
インストール方法については別の機会にブログでご紹介します。
導入要件は下記の通りです。
項目 | 要件内容 |
---|---|
システム要件 | OS:RedHat系Linux 必須ソフトウェア:Apache/Tomcat6/JDK1.6 |
インストール要件 | ハードディスク:20GB以上の空き容量 メモリ:4GB以上 |
保守 | 初年度より保守契約が必要 |
http://www.ip3.co.jp/product/authway.html より引用
DirectoryService の設定
さっそく設定を進めていきましょう。
まず、DirectoryService にてMFAを有効にする設定を行います。
MFAを有効にするDirectoryを選択して、Multi-Factor Authenticationタブ をクリックします。
Enable Multi-Factor Authentication にチェックを付けて、それぞれの項目を入力します。
RADIUS server IP address(es) : Authwayが稼働しているIPアドレスを入力します
Port : Authway がRADIUSプロトコルで通信するためのポート番号を入力します
Shared secret code : Authway がRADIUSプロトコルで通信する際の接続パスワードを入力します
Confirm shared secret code : 同上
Protocol : PAP を選択してください
Server timeout (in seconds) : 適切な値を入力します ( 例: 10 )
Max retries : 適切な値を入力します ( 例: 3 )
入力が終了したら、Update Directory をクリックして数分間待ちましょう。
RADIUS Status が Completed に変化すれば DirectoryService の MFA設定は完了です。
※ 正しい情報を入力しているはずなのに RADIUS Status が Failed になってしまう場合は、空の状態(Enable Multi-Factor Authentication のチェックを外す)でアップデートをして、再度チェックを付けてアップデートしてみましょう。
なお、DirectoryでMFAを有効化すると そのDirectoryで稼働しているWorkSpacesはすべてMFAが必須となる ので注意が必要です。
Authway の 設定
つづいて、Authway の設定です。
ユーザの追加、認証方法、トークンの登録/編集 は Authway の管理画面で行います。
通常通りにインストールを行えば、下記URLで管理者画面へアクセス出来るはずです。
管理者IDとパスワードを入力してログインしましょう。
http://{AuthwayのIP}/awadminFlash/
OTP認証するユーザ作成を行います。
Group / User management をクリック、ユーザの新規作成ボタンをクリックします。
基本情報
User ID : ユーザID (ActiveDirectoryと同一) を入力してください
User Name : ユーザ名を入力してください
E-mail : 有効なメールアドレスを入力してください
認証情報
PIN : PIN Length の桁数で数値を入力してください
トークンレス情報
トークンレスOTP : 利用する を選択してください
発行タイプ : メールトークン を選択してください
最後に、Add をクリックしてユーザ情報を保存して下さい。
トークンレスOTPの発行
Authway には、一般利用者がPINやトークンをセルフメンテナンスするための管理画面も用意されています。
通常通りにインストールを行えば、下記URLにて一般利用者用の管理画面へアクセス出来るはずです。
トークンレスOTP発行 をクリックして、ワンタイムパスワードを発行しましょう。
http://{AuthwayのIP}/AuthWay/
先ほど登録した ユーザID と PIN を入力して OTP発行 をクリックします。
すると、ユーザに紐付けたメールアドレスへワンタイムパスワードが記載されたメールが送信されます。
下記内容の、ワンタイムパスワードがメールで送られてくるはずです。
このメールでは 11:49 までとなっていますが、OTP発行して 約5分間 が有効期間です。
WorkSpaces で認証する
さあ、WorkSpaces で認証してみましょう。
まずはいつも通り、ユーザ名とパスワードを入力して Sign In をクリックします。
ユーザ認証されると、OTP認証の画面が表示されます。
ここで、PIN + 先ほどのOTP入力画面で発行されたワンタイムパスワードを入力します。
今回の例だと 8764112060 ( PIN + OTP ) になります。
入力後、Sign In をクリックします。
認証されて WorkSpaces へ接続出来ました。
まとめ
ユーザの発行 / OTPの設定など、ブラウザから簡単に操作出来るので非常に便利ですね。
今回はメールベースでのトークンレスOTP認証手順をご紹介しましたが、次回はハードウェアトークンを利用した認証手順/設定方法をご紹介します。