ADFS の MFA を構成する

適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security

Active Directory Federation Services (ADFS) は、ユーザーが自分の Active Directory 認証情報を使って外部システムやアプリケーションにログインするための Active Directory のシングル サインオン ソリューションです。ユーザーが自分の組織の Web ベースのアプリケーションにログインする際に、シングル サインオンを利用できるようにします。

AuthPoint ADFS エージェントを使用すると、多要素認証 (MFA) を ADFS に追加してセキュリティを強化することができます。これを行うには、AuthPoint management UI で ADFS リソースを追加し、ADFS サーバーに ADFS エージェントをインストールする必要があります。

ADFS で MFA を使用するには、ADFS サーバーにプライマリ AuthPoint Gateway がインストールされている必要があります。AuthPoint Gateway がまだインストールされていない場合に AuthPoint Gateway をダウンロードしてインストールするための詳細な手順については、Gateway について

Active Directory のユーザーが ADFS で AuthPoint MFA を使用できるようにするには、外部アイデンティティを構成する際に、ユーザーのログインに関連する属性の sAMAccountName の値を既定のまま維持する必要があります。

ADFS リソースを構成する

AuthPoint Management UI で以下の手順を実行します。

  1. AuthPoint ナビゲーション メニューから リソース を選択します。

Screen shot of the Resources page.

  1. リソースを追加する をクリックします。
    リソースを追加する ページが開きます。

Screen shot of the Add Resource page.

  1. 種類 ドロップダウン リストから、ADFS 以下を選択します。
  2. 名前 テキスト ボックスに、リソースの記述的な名前を入力します。

Screen shot of the ADFS fields on the Add Resource page.

  1. 保存 をクリックします。
  2. ADFS リソースを既存の認証ポリシーに追加するか、ADFS リソース用の新しい認証ポリシーを追加します。認証ポリシーは、ユーザーが認証後にアクセスできるリソースと、ユーザーが使用できる認証方法を指定します。詳細については、次を参照してください:AuthPoint 認証ポリシーについて

ADFS リソースを Gateway 構成に追加する

ADFS で MFA を使用するには、AuthPoint Gateway がインストールされている必要があり、また、ADFS リソースを AuthPoint Gateway と関連付ける必要があります。AuthPoint Gateway は、AuthPoint と ADFS サーバーの間の通信ポイントです。

AuthPoint Gateway がまだインストールされていない場合に AuthPoint Gateway をダウンロードしてインストールするための詳細な手順については、Gateway について

ADFS リソースを AuthPoint Gateway の構成に追加するには、以下の手順を実行します。

  1. AuthPoint ナビゲーション メニューから Gateway を選択します。
  2. Gateway の 名前 をクリックします。

Screen shot of the Gateways page.

  1. ADFS セクションの ADFS リソースの選択 リストから、ADFS リソースを選択します。

Screen shot of the ADFS section of the Edit Gateway page.

  1. 保存 をクリックします。

これにより ADFS リソースが Gateway と関連付けられます。次の手順は ADFS エージェントをダウンロードしてインストールすることです。

ADFS エージェントをダウンロードしてインストールする

ADFS リソースが関連付けられている Gateway の構成ファイルをダウンロードした後、ADFS エージェントをダウンロードしてインストールする必要があります。

ADFS エージェントをインストールする際には、Gateway がインストールされており、使用可能でなければなりません。

ADFS エージェントをダウンロードしてインストールするには、以下の手順を実行します。

  1. AuthPoint ナビゲーション メニューから ダウンロード を選択します。
  2. ADFS セクションで インストーラをダウンロードする をクリックします。構成ファイルをダウンロードするには、ADFS リソースがあり、インストールされた Gateway がバージョン 4.0.0 以降でなければなりません。
  3. 構成をダウンロード をクリックして構成ファイルをダウンロードします。複数の Gateway をお持ちの場合は、ADFS リソースが関連付けられている Gateway を選択するようプロンプトされます。
  4. ADFS エージェントと構成ファイルを ADFS サーバーに移動します。
  5. ADFS エージェントを実行します。

ADFS エージェントは、プライマリ Gateway があるサーバーにのみインストールできます。セカンダリ Gateway サーバーに ADFS エージェントをインストールするには、ADFS エージェントをインストールする間、セカンダリ Gateway を一時的にプライマリ Gateway にする必要があります。

  1. ADFS リソースを セカンダリ AuthPoint Gateway の構成に追加します。ADFS リソースを Gateway に追加する方法の詳細については、このヘルプ トピックの ADFS リソースを Gateway 構成に追加する セクションを参照してください。
  2. ADFS エージェントをインストールできるようにするため、セカンダリ Gateway をプライマリ Gateway に変更します。プライマリ Gateway を変更する方法の詳細については、次を参照してください:プライマリ Gateway を変更する
  3. ADFS エージェントをダウンロードし、セカンダリ Gateway サーバー (現在はプライマリ Gateway) にインストールします。
  4. AuthPoint Management UI で、元の Gateway を再びプライマリ Gateway にします。これは、Active Directory または LDAP データベースからユーザーを同期するために使用される Gateway です。

サーバーを構成する

ADFS エージェントのインストール後、ADFS で特定のグループに対する MFA をアクティブ化する必要があります。MFA は、選択した ADFS グループのメンバーで、お持ちの ADFS リソースの認証ポリシーを持つ AuthPoint グループのメンバーであるユーザーのみに対し機能します。

ADFS グループに対して MFA をアクティブ化するための手順は、Windows 2012r2 サーバーをお持ちか、Windows 2016 サーバーをお持ちかによって異なります。

  1. 管理ツールを開きます。
  2. AD FS 管理 を選択します。

Screen shot of AD FS Management in the Windows Administrative Tools window.

  1. 認証ポリシー を選択します。
  2. 多要素認証方法 セクションで 編集 をクリックし、MFA をグローバルに構成します。証明書利用者ごとに MFA を構成するには 管理 をクリックします。

Screen shot that shows the Multi-factor Authentication section of the Authentication Policies page.

  1. グローバル認証ポリシーの編集 ウィンドウで 追加をクリックします。

Screen shot of the Edit Global Authentication Policy window.

  1. ユーザーまたはグループの選択 ウィンドウで、MFA をアクティブ化する LDAP グループの名前を入力します。
  2. OK をクリックします。

Screen shot of the Select Users or Groups window.

Screen shot of a group added in the Edit Global Authentication Policy window.

  1. グローバル認証ポリシーの編集 ウィンドウの追加の認証方法セクションで WatchGuard 多要素認証 を選択します。
  2. 適用 をクリックします。

Screenshot of the WatchGuard Multi-Factor Authentication option seleted in the Edit Global Authentication Policy window.

構成すると、AD FS 管理はユーザー/グループおよび選択された認証方法を表示します。

Screen shot that shows the users and groups selected in AD FS Management.

  1. 管理ツールを開きます。
  2. AD FS 管理 を選択します。

Screen shot of AD FS Management in the Windows Administrative Tools window.

  1. サービス > 認証方法 の順に選択します。
  2. 多要素認証方法 セクションで 編集 をクリックします。

Screen shot that shows the Multi-factor Authentication section of the Authentication Policies page.

  1. 認証方法の編集 ウィンドウで WatchGuard 多要素認証 を選択します。適用 をクリックします。

Screenshot of the WatchGuard Multi-Factor Authentication option seleted in the Edit Global Authentication Policy window.

ADFS リソースにアクセスするユーザーに対して MFA が必須になりました。特定のユーザーに対してのみ MFA を構成するには、それらのユーザーが含まれる AD グループのアクセス制御ポリシーを作成する必要があります。

  1. (任意) MFA を使用する必要があるユーザー用の AD グループを作成します。すでにグループがある場合、追加で作成する必要はありません。
  2. アクセス制御ポリシー を選択します。
  3. アクセス制御ポリシーの追加 をクリックします。
    アクセス制御ポリシーの追加ウが開きます。
  4. 名前 テキスト ボックスに、全員に許可を与え、特定のグループには MFA を要求する と入力します。
  5. 説明 を入力します。
  6. 追加 をクリックします。
    ルール エディタ ウィンドウが開きます。
  7. ルール エディタで以下の設定を構成します。
    1. 許可に対し 全員 を選択します。
    2. 例外に対し 特定のグループから を選択します。
    3. ウィンドウの下部で 特定 をクリックし、MFA を要求する Active Directory グループを選択します。
  8. OK をクリックして、ルールを保存します。
  9. 追加 をクリックして別のルールを追加しますto add another rule.

    ルール エディタ ウィンドウが開きます。
  10. ルール エディタで以下の設定を構成します。
    1. 許可に対し ユーザー を選択します。
    2. ユーザーの下で 特定のグループからおよび多要素認証を要求する チェック ボックスを選択します。
    3. 例外に対し 特定のグループから を選択します。
    4. ウィンドウの下部で 特定 をクリックし、MFA を要求する Active Directory グループを選択します。
  11. OK をクリックして、ルールを保存します。
  12. 証明書利用者信頼 を選択します。
  13. 信頼を右クリックして、アクセス制御ポリシーの編集 を選択します。
  14. 今作成したポリシーを選択します。
  15. OK をクリックします。ADFS サービスを再起動します。

ADFS による認証

ADFS の MFA が構成されている場合、ユーザーは組織の Web アプリケーションにアクセスする際に認証を行う必要があります。ユーザーが Web アプリケーションに移動すると ADFS SSO ページに移動され、そこで自分の AD 認証情報を入力して MFA による認証を行う必要があります。

ユーザーが ADFS を通じて認証する際、ユーザーには位置情報を共有するよう求めるプロンプトが表示されます。このプロンプトは、AuthPoint アカウントがジオフェンスおよびジオキネティクス ポリシー オブジェクトを使用していない場合でも表示されます。

ADFS を通じて認証を行うには、以下の手順を実行します。

  1. 外部 Web アプリケーションに移動します。
    ADFS SSO ページにリダイレクトされます。
  2. ユーザー名 テキスト ボックスに、ユーザー名か電子メール アドレスを入力します。ユーザー名は user@domain 形式または domain\user 形式でフォーマットされている必要があります。
  3. パスワード テキスト ボックスにパスワードを入力します。
  4. ログイン をクリックします。
  5. サインイン オプション セクションから認証オプションを選択して認証を行います。
    • プッシュ — 携帯電話に送信されるプッシュ通知を承認します
    • QR Code — AuthPoint モバイル アプリを使って QR Code をスキャンし、アプリに表示された検証コードを入力します
    • ワンタイム パスワード — トークンのワンタイム パスワードを入力します

関連トピック

ADFS のカスタム ログイン ページを設定する

AuthPoint ADFS エージェントを更新する

ADFS エージェントをアンインストールする

Gateway について

AuthPoint 認証ポリシーについて