OneLoginのアカウントをセキュアに -物理MFA編-

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

情報システム課の宮澤です。
今回は、OneLoginのユーザーアカウントにMFA(物理)設定をする手順を紹介します。

事前準備

今回、OneLoginにMFAを設定するわけですが、まず物理MFAトークンを購入します。
利用するトークンは、Symantec社のVIPトークンを利用します。

トークン表面

DSC_0102 1  

トークン裏面

DSC_0101 1

管理者設定

Symantec VIPの有効化

管理者ユーザーでOneLoginにログインし”SETTINGS > Authentication Factors”に移動します。

2016-08-19_11h20_34

“NEW AUTH FACTOR”を押します。

2016-08-19_11h30_48

移動すると以下の画面が表示されるので、VIP ACCESS部分の”CHOOSE”を押します

2016-08-19_11h39_09

管理画面上での表示名を入力し”SAVE”を押します。

2016-08-19_11h41_16

ポリシーの設定

ポリシーを設定するには”SETTINGS > Policies”へ移動します。

2016-08-19_12h04_31

新規にポリシーを作成する場合は、”NEW USER POLICY”、既存のものに設定を加える場合は、下部に表示されている既存のポリシーを押します。

2016-08-19_12h04_53

“MFA”タブをクリックし、先ほど設定した”VIP Access”を選択して”SAVE”を押します。
この画面の”OTP Auth Required”を選択すると、対象のポリシーが割り当てられたユーザーはMFA設定が必須になります。

2016-08-19_12h07_05

エンドユーザー設定

MFA設定

OneLoginのユーザー画面で右上のユーザーアイコンにマウスオーバーして、”セキュリティ”を押します。

2016-08-19_12h28_28

セキュリティ設定画面に移動すると、以下の様な画面になるので、”+”ボタンを押してMFAを設定します。

2016-08-19_12h28_45

設定画面では、どのMFAを利用するかとMFAトークン裏面に示されていた認証コードと2回分セキュリティコードを入力して”SAVE”を押して設定完了です。

2016-08-19_12h29_26

設定が完了すると、以下のように、設定済みのMFAとして表示されます。

2016-08-19_12h44_26

設定完了後にログインを実施すると、以下のようにID.パスワードに追加して、多要素認証を求められます。

2016-08-19_13h06_35

まとめ

今回の内容ではSymantec社のハードウェアトークンを利用した方法を紹介しましたが、Yubikeyなどのハードウェアトークンも利用することができます。
また、OneLoginの多要素認証設定では、モバイルアプリを利用したMFAなどが豊富に用意されていますが、
社内に端末が持ち込めないルールがあるなどの場合は、今回紹介した内容が有効になると思います。

AWS運用自動化サービス「Cloud Automator」