適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
ハードウェア トークンは、ユーザーが認証に使用することができる、トークンが内蔵された物理デバイスです。WatchGuard のハードウェア トークンを購入するか、AuthPoint でサードパーティ製ハードウェアのトークンを使用することができます。これを行うには、以下を実行する必要があります。
- WatchGuard またはサードパーティのベンダーからサポートされているハードウェア トークンを購入する。
- ハードウェア トークンを AuthPoint にインポートする。
- ハードウェア トークンをユーザーに割り当てる。
- ハードウェア トークンをアクティブ化する。
それぞれの AuthPoint ユーザーは最大 20 個のソフトウェア トークンと無制限の数のハードウェア トークンを所有できます。
同じ WatchGuard のハードウェア トークンは、複数の AuthPoint アカウントにインポートすることができます。これは、複数の管理アカウントに管理者やサポート ユーザーがいる場合に行います。WatchGuard ハードウェア トークンの所有権を移譲する方法については、次を参照してください:ハードウェア トークンを移譲する。
RADIUS 認証では、ハードウェア トークンは PAP プロトコルのみをサポートします。ハードウェア トークンは、IKEv2 VPN など、MS-CHAPv2 プロトコルを使用する RADIUS 認証をサポートしていません。
WatchGuard のハードウェア トークンをサードパーティの MFA サービスで使用することはできません。AuthPoint MFA には、WatchGuard のハードウェア トークンのみが使用できます。
サポートされているハードウェア トークン
ハードウェア トークンは以下の要件を満たしている必要があります。
- 応答形式 — 6 桁の時間ベース OTP (30 秒または 60 秒間隔の数字のみを含むもの)
- アルゴリズム — OATH 時間ベース OTP (RFC 6238)
- シード配信 — OATH PSKC ファイル (RFC 6030)
WatchGuard のハードウェア トークンは自動的にアカウントに関連付けられるため、シード ファイルは必要ありません。これにより、トークンをより安全かつ容易にインポートできるようになります。
- Feitian C200 (時間ベース OTP)
- HID ActivID MiniToken (時間ベース OTP)
- Gemalto/SafeNet OTP 110 (時間ベース OTP)
- OneSpan/Vasco GO6 (時間ベース OTP)
- Token2 (時間ベース OTP)
このリストには、WatchGuard が AuthPoint でテストしたトークンのみが含まれています。AuthPoint では、要件を満たす他のサードパーティ製ハードウェアのトークンもサポートされています。
ハードウェア トークンを AuthPoint にインポートする
ハードウェア トークンを AuthPoint アカウントにインポートする必要があります。インポート プロセスは、WatchGuard のハードウェア トークンとサードパーティ製ハードウェアのトークンの間で異なります。
WatchGuard のハードウェア トークン
WatchGuard のハードウェア トークンをインポートするには、個々のハードウェア トークンまたはハードウェア トークンのボックスに記載されたシリアル番号を入力します。WatchGuard のハードウェア トークンは、複数のアカウントにインポートすることができます。これは、複数の管理アカウントに管理者やサポート ユーザーがいる場合に行います。
サードパーティ製ハードウェアのトークン
サードパーティ製ハードウェアのトークンを AuthPoint にインポートするには、シード ファイル をアップロードし、キー を提供する必要があります。シード ファイルとキーはハードウェア トークンのベンダーから受信します。シード ファイルは暗号化されている必要があります。
- シード ファイル — シード ファイルは、ハードウェア トークン情報を AuthPoint にインポートするのに使用されるポータブル対称鍵コンテナ (PSKC) ファイルです。このファイルには各ハードウェア トークンのデバイス情報が含まれています。シード ファイルとして受け入れられるファイル タイプは .XML、.PSKC、.TXT および .VIPです。
- キー — このキーはシード ファイルを解読するのに使用され、ハードウェア トークンが生成するワンタイム パスワード (OTP) を AuthPoint が検証できるようにするために使用されます。このキーには、AuthPoint に入力する文字列か、アップロードするファイルが可能です。キー ファイルとして受け入れられるファイルの種類は .TXT と .BIN です。
Service Provider の場合は、ハードウェア トークンを使用する AuthPoint アカウントにインポートするようにしてください。
- AuthPoint management UI から トークン を選択します。
トークン ページが表示されます。
- トークンをインポートする をクリックします。
- 種類 ドロップダウン リストから WatchGuard トークン を選択します。
追加のフィールドが表示されます。 - ハードウェア トークンまたはハードウェア トークンのボックスに記載されたシリアル番号を入力します。
- 検索 をクリックします。ハードウェア トークンのボックスの場合、そのボックスに含まれるすべてのハードウェア トークンが表示されるため、どのトークンをインポートするかを選択します。
- インポートするトークンを選択します。
- すべてのトークンをインポートするには、すべて選択する をクリックします。
- 特定のトークンのみをインポートする場合は、それらを選択します。
- 保存 をクリックします。
ハードウェア トークンがインポートされます。
- AuthPoint management UI から トークン を選択します。
トークン ページが表示されます。
- トークンをインポートする をクリックします。
- 種類 ドロップダウン リストから サードパーティのトークン を選択します。
追加のフィールドが表示されます。 - キー を入力するか、貼り付けます。もしくは、キー ファイルを持っている場合は キー ファイルのアップロード を選択してファイルをアップロードします。キー ファイルとして受け入れられるファイルの種類は .TXT と .BIN です。
キーはハードウェア トークンのベンダーから受信します。
- シード ファイルの選択 セクションで、シード ファイルをドラッグアンドドロップします。もしくは、インポートするファイルの選択 をクリックしてシード ファイルを選択します。シード ファイルとして受け入れられるファイル タイプは .XML、.PSKC、.TXT および .VIPです。
- (任意) 一部のハードウェア トークンのみをインポートしたい場合は、インポートするトークンの選択 を選択します。これを行うのは、たとえば複数の異なるアカウントにインポートする目的で大規模なバッチのハードウェア トークンを購入した場合です。
- インポートするトークンを選択します。
- インポート をクリックします。
ハードウェア トークンがインポートされ、インポートの詳細が記載されたページが表示されます。
インポートの詳細については、次を参照してください:ハードウェア トークンのインポートの詳細。
ハードウェア トークンを AuthPoint にインポートしたら、そのトークンをユーザーに割り当ててから、トークンをアクティブ化する必要があります。
IdP ポータルが構成済みの場合、ユーザーは IdP ポータルからハードウェア トークンをアクティブ化することができます。詳細については、次を参照してください:ハードウェア トークンをアクティブ化する。
ハードウェア トークンをユーザーに割り当てる
ハードウェア トークンは ハードウェア トークン ページまたは ユーザー ページからユーザーに割り当てることができます。
ユーザーが IdP ポータルでハードウェア トークンをアクティブ化すると、AuthPoint はアクティブ化されたトークンを、アクティブ化を行ったユーザーに自動的に割り当てます。
- ユーザーに割り当てるハードウェア トークンの横で
をクリックし、割り当て を選択します。
トークンの割り当て ウィンドウが開きます。
- ユーザーの選択 ドロップダウン リストで、このハードウェア トークンを割り当てる対象ユーザーを選択します。
- 割り当て をクリックします。
- ハードウェア トークンの割当先のユーザーの横で をクリックし、ハードウェア トークンを割り当てる を選択します。
トークンの割り当て ウィンドウが開きます。
- トークンの割り当て ドロップダウン リストから、ユーザーに割り当てるハードウェア トークンを選択します。
- 割り当て をクリックします。
ハードウェア トークンをアクティブ化する
ハードウェア トークンをユーザーに割り当てたら、そのトークンを認証に使用する前にアクティブ化する必要があります。ハードウェア トークンは ハードウェア トークン ページか ユーザー ページからアクティブ化できます。
ユーザーは IdP ポータルからハードウェア トークンをアクティブ化することもできます。ユーザーが IdP ポータルでハードウェア トークンをアクティブ化すると、AuthPoint はアクティブ化されたトークンを、アクティブ化を行ったユーザーに自動的に割り当てます。
- アクティブ化するハードウェア トークンの横で をクリックし、アクティブ化 を選択します。
トークンのアクティブ化 ウィンドウが開きます。
- トークンのアクティブ化 テキスト ボックスに、このハードウェア トークンの現在の OTP を入力します。正しいハードウェア トークンのパスワードを指定するようにしてください。
- アクティブ化 をクリックします。
トークンがアクティブ化され、認証に使用できるようになります。
- アクティブ化するハードウェア トークンを持つユーザーの トークン 列でハードウェア トークンのシリアル番号をクリックします。
トークンの管理 ウィンドウが開きます。
- アクティブ化 をクリックします。
トークンのアクティブ化 ウィンドウが開きます。
- トークンのアクティブ化 テキスト ボックスに、このハードウェア トークンの現在の OTP を入力します。正しいハードウェア トークンのパスワードを指定するようにしてください。
- アクティブ化 をクリックします。
トークンがアクティブ化され、認証に使用できるようになります。
ハードウェア トークンによる認証
ハードウェア トークンを使って OTP による認証をすることができます。ハードウェア トークンによる認証は、携帯電話でのソフトウェア トークンを使った認証と同じ方法で行います。認証が必要なリソースにアクセスする場合は、OTP による認証のオプションを選択し、ハードウェア トークンに表示された OTP を入力します。
詳細については、次を参照してください:認証について。
ハードウェア トークン リストのフィルタリング
ハードウェア トークンのリストにフィルタを適用し、特定のトークンを見つけやすくすることができます。これは、多数のハードウェア トークンをインポートした後に未割り当てのトークンや特定のステータスのトークンなど、リスト内の特定のトークンのみを表示したい場合に実行します。
ハードウェア トークン リストにフィルタを適用するには、以下の手順を実行します。
-
をクリックします。
ハードウェア トークンのフィルタリング ウィンドウが表示されます。
- 適用するフィルタを選択します。複数のフィルタを選択できます。
- フィルタを適用する をクリックします。
適用したそれぞれのフィルタは、ハードウェア トークン リストの最上部に表示されます。フィルタを削除するには、フィルタ ラベルの横の 
をクリックします。
ハードウェア トークンを移譲する
ハードウェア トークンの所有権を別のアカウントに移譲するには、そのトークンが属するすべての AuthPoint アカウントからそれを削除し、それが新しいハードウェア トークンであるかのように、新しいアカウントにインポートする必要があります。
この手順が必要になるのは、所有権を移譲する場合のみです。同じ WatchGuard ハードウェア トークンを複数の AuthPoint アカウントで使用したい場合は、そのトークンをそれぞれのアカウントにインポートすることができます。
ハードウェア トークンの所有権を移譲するには、以下の手順を実行します。
- 移譲する WatchGuard ハードウェア トークンを、インポートしたすべてのアカウントから削除します。詳細な手順については、次を参照してください:ハードウェア トークンを削除する。
- このヘルプ トピックの手順に従って以下の手順を実行します。