適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
AuthPoint MFA では、各ユーザーがモバイル デバイス上に AuthPoint アプリをインストールしてトークンをアクティブ化します。その後ユーザーはアプリを使用し、プッシュ、QR Code またはワンタイム パスワード (OTP) 認証方法を使って認証することができます。また、ユーザーは、サードパーティ製ハードウェアのトークンを使って OTP による認証をすることができます。
ユーザーが認証を必要とするリソースにログインを試みると、AuthPoint シングル サインオン (SSO) 認証ページ が表示されます。ログインするには、ユーザーは AuthPoint パスワード (必要な場合) を入力し、認証方法を選択します。使用できる認証方法は、ユーザーの AuthPoint グループに割り当てられている認証ポリシーによって異なります。リソースによっては、特定の認証方法が必要な場合や、特定の方法のみ許可する場合があります。
ユーザーが 3 回連続して認証試行に失敗すると、AuthPoint によって認証に使用されたトークンが自動的にブロックされます。AuthPoint 管理者がトークンのブロックを解除するまで、そのブロックされたトークンを使用して認証を行うことはできません。
ユーザーが認証を受けると、Web ブラウザがセッションを作成し、8 時間そのユーザーのことを記憶します。そのユーザーのセッションがアクティブである間は、リソースによってよりセキュアな認証方法が求められない限り、ユーザーは SAML リソースや RD Web リソース、IdP ポータルで再度認証を受ける必要がありません。
以下に、セキュリティの高いものから低いものの順に認証方法を示します。
- プッシュ通知と QR Code
- ワンタイム パスワード
- パスワード
たとえば、IdP ポータルにログインするのにパスワードと OTP を使って認証を受けます。これにより、許可された認証オプションとして OTP が使用されている、またはパスワードしか必要としない任意のリソースに、認証なしでログインできるようになります。
以下の表は、どの場合に認証済みユーザーが再認証しなければならないかを示しています。
| 以下を使って以前に認証済みのユーザー: | ポリシーの認証オプション | 認証アクション |
|---|---|---|
| パスワード | パスワード | 認証なしのログイン |
| パスワード | パスワード + OTP、QR Code またはプッシュ | ユーザーは OTP、QR Code またはプッシュを使って認証しなければなりません (パスワードは不要) |
| OTP | パスワードまたは OTP | 認証なしのログイン |
| OTP | パスワード + QR Code またはプッシュ | ユーザーは再度 QR Code またはプッシュを使って認証しなければなりません (パスワードは不要) |
| OTP | OTP、QR Code またはプッシュ | 認証なしのログイン |
| QR Code またはプッシュ | いずれか | 認証なしのログイン |
プッシュ認証
プッシュ認証の場合は、AuthPoint から携帯電話にプッシュ通知が送信されます。承認をタップして認証を行い、アプリケーションにアクセスするか、拒否をタップして、本人からではないアクセスを拒否することができます。
プッシュ認証を使用するには、以下の手順を実行します。
- MFA を要求しているアプリケーションまたはサービスに移動します。
AuthPoint SSO の認証ページにリダイレクトされます。 - ユーザー名または電子メール アドレスを使用してログインします。
- AuthPoint パスワードを入力して (必要な場合)、認証方法として プッシュ を選択します。
- 携帯電話に送信されるプッシュ通知で、承認 をタップして認証を行い、ログインします。
プッシュを承認する際は、AuthPoint アプリが開いている必要はありません。
トークンが保護されている場合は、プッシュ通知を承認しようとすると、AuthPoint アプリが開いて、生体認証 ID または PIN でトークンをロック解除することを促すメッセージが表示されます。検証後、プッシュ通知を承認または拒否することができるようになります。
一部のモバイル デバイスでは、デバイスがロックされている場合でも、ユーザーはロック画面でプッシュ通知を承認することができます。これを防止するには、トークンの PIN による保護を有効化します。PIN による保護を有効化する手順について、次を参照してください:トークン セキュリティ。
QR Code
QR Code は四角いバーコードで、携帯電話でスキャンして保管されたデータを読み取ることができます。AuthPoint では、セキュアな QR Code を使用して、認証のための検証コードが提供されます。AuthPoint QR Code を復号化できるのは、内蔵の AuthPoint アプリ QR Code リーダーのみです。
QR Code で認証するには、以下の手順を実行します。
- MFA を要求しているアプリケーションまたはサービスに移動します。
AuthPoint SSO の認証ページにリダイレクトされます。 - ユーザー名または電子メール アドレスを使用してログインします。
- AuthPoint パスワードを入力して (必要な場合)、認証方法として QR Code を選択します。
QR Code が入った新しいページが表示されます。 - AuthPoint アプリを開いて、
をタップして QR Code リーダーを開きます。 - コンピュータ画面の QR Code に携帯電話のカメラを向けます。
AuthPoint アプリにより QR Code が読み取られて、一時的な検証コードが入った認証要求ページが表示されます。 - 検証コード テキスト ボックスに、AuthPoint アプリからの 6 桁の検証コードを入力します。
- 完了 をクリックします。
トークンが PIN で保護されている場合は、PIN を入力して、検証コードが入った 認証要求 ページを表示する必要があります。
ワンタイム パスワード
OTP (ワンタイム パスワード) は、短期間のみ有効な一意の一時的なパスワードです。認証に使用する通常のパスワードに加えて OTP が使用されます。AuthPoint アプリの トークンの管理 ページで、各トークンの OTP と OTP の有効期間を確認することができます。保護されているトークンの OTP は、そのトークンがロック解除されるまで非表示となります。
OTP で認証するには、以下の手順を実行します。
- MFA を要求しているアプリケーションまたはサービスに移動します。
AuthPoint SSO の認証ページにリダイレクトされます。 - ユーザー名または電子メール アドレスを使用してログインします。
- AuthPoint パスワードを入力して (必要な場合)、認証方法として OTP を選択します。
- ワンタイム パスワード テキスト ボックスに、AuthPoint アプリでトークンに示されている OTP を入力します。必要に応じて、トークンをロック解除します。
- 完了 をクリックします。
RADIUS 認証では、パスワードの末尾に OTP を追加します。スペースを追加しないでください。