Active Directory Federation Services (ADFS) は、ユーザーが自分の Active Directory 認証情報を使って外部システムやアプリケーションにログインするための Active Directory のシングル サインオン ソリューションです。ユーザーが自分の組織の Web ベースのアプリケーションにログインする際に、シングル サインオンを利用できるようにします。
AuthPoint ADFS エージェントを使用すると、多要素認証 (MFA) を ADFS に追加してセキュリティを強化することができます。これを行うには、AuthPoint management UI で ADFS リソースを追加し、ADFS サーバーに ADFS エージェントをインストールする必要があります。
ADFS で MFA を使用するには、AuthPoint Gateway がインストールされている必要があります。AuthPoint Gateway がまだインストールされていない場合は、次を参照してください:Gateway について。
Active Directory のユーザーが ADFS で AuthPoint MFA を使用できるようにするには、外部アイデンティティを構成する際に、ユーザーのログインに関連する属性の sAMAccountName の値を既定のまま維持する必要があります。
ADFS リソースを構成する
AuthPoint Management UI で以下の手順を実行します。
- AuthPoint ナビゲーション メニューから リソース を選択します。
AuthPoint management UI でリソース ページが開きます。 - リソースの種類の選択 ドロップダウン リストから、ADFS を選択します。追加 をクリックします。
- 名前 テキスト ボックスに、リソースの記述的な名前を入力します。
- 保存 をクリックします。
- ADFS リソースを既存の認証ポリシーに追加するか、ADFS リソース用の新しい認証ポリシーを追加します。認証ポリシーは、ユーザーが認証後にアクセスできるリソースと、ユーザーが使用できる認証方法を指定します。詳細については、次を参照してください:AuthPoint 認証ポリシーについて
ADFS リソースを Gateway 構成に追加する
ADFS で MFA を使用するには、AuthPoint Gateway がインストールされている必要があり、また、ADFS リソースを AuthPoint Gateway と関連付ける必要があります。AuthPoint Gateway は、AuthPoint と ADFS サーバーの間の通信ポイントです。
AuthPoint Gateway がまだインストールされていない場合は、次を参照してください:Gateway について。
ADFS リソースを AuthPoint Gateway の構成に追加するには、以下の手順を実行します。
- AuthPoint ナビゲーション メニューから Gateway を選択します。
- Gateway の 名前 をクリックします。
- ADFS セクションの ADFS リソースの選択 リストから、ADFS リソースを選択します。
- 保存 をクリックします。
これにより ADFS リソースが Gateway と関連付けられます。次の手順は ADFS エージェントをダウンロードしてインストールすることです。
ADFS エージェントをダウンロードしてインストールする
ADFS リソースが関連付けられている Gateway の構成ファイルをダウンロードした後、ADFS エージェントをダウンロードしてインストールする必要があります。
ADFS エージェントをインストールする際には、Gateway がインストールされており、使用可能でなければなりません。
- AuthPoint ナビゲーション メニューから ダウンロード を選択します。
- ADFS セクションで インストーラをダウンロードする をクリックします。構成ファイルをダウンロードするには、ADFS リソースがあり、インストールされた Gateway がバージョン 4.0.0 以降でなければなりません。
- 構成をダウンロード をクリックして構成ファイルをダウンロードします。複数の Gateway をお持ちの場合は、ADFS リソースが関連付けられている Gateway を選択するようプロンプトされます。
- ADFS エージェントと構成ファイルを ADFS サーバーに移動します。
- ADFS エージェントを実行します。
サーバーを構成する
ADFS エージェントのインストール後、ADFS で特定のグループに対する MFA をアクティブ化する必要があります。MFA は、選択した ADFS グループのメンバーで、お持ちの ADFS リソースの認証ポリシーを持つ AuthPoint グループのメンバーであるユーザーのみに対し機能します。
ADFS グループに対して MFA をアクティブ化するための手順は、Windows 2012r2 サーバーをお持ちか、Windows 2016 サーバーをお持ちかによって異なります。
- 管理ツールを開きます。
- AD FS 管理 を選択します。
- 認証ポリシー を選択します。
- 多要素認証方法 セクションで 編集 をクリックし、MFA をグローバルに構成します。証明書利用者ごとに MFA を構成するには 管理 をクリックします。
- グローバル認証ポリシーの編集 ウィンドウで 追加をクリックします。
- ユーザーまたはグループの選択 ウィンドウで、MFA をアクティブ化する LDAP グループの名前を入力します。
- OK をクリックします。
- グローバル認証ポリシーの編集 ウィンドウの追加の認証方法セクションで WatchGuard 多要素認証 を選択します。
- 適用 をクリックします。
構成すると、ADFS 管理はユーザー/グループおよび選択された認証方法を表示します。
- 管理ツールを開きます。
- AD FS 管理 を選択します。
- サービス > 認証方法 の順に選択します。
- 多要素認証方法 セクションで 編集 をクリックします。
- 認証方法の編集 ウィンドウで WatchGuard 多要素認証 を選択します。適用 をクリックします。
ADFS リソースにアクセスするユーザーに対して MFA が必須になりました。特定のユーザーに対してのみ MFA を構成するには、それらのユーザーが含まれる AD グループのアクセス制御ポリシーを作成する必要があります。
- (任意) MFA を使用する必要があるユーザー用の AD グループを作成します。すでにグループがある場合、追加で作成する必要はありません。
- アクセス制御ポリシー を選択します。
- アクセス制御ポリシーの追加 をクリックします。
- 名前 テキスト ボックスに、全員に許可を与え、特定のグループには MFA を要求する と入力します。
- 説明 を入力します。
- 追加 をクリックします。
- Rule Editor ウィンドウで、次の権限を構成します:
- Domain\<AD グループ> に含まれるユーザー以外を許可する
- Domain\<AD グループ> に含まれるユーザーを許可し、多要素認証を必須にする
- OK をクリックして保存します。
- 証明書利用者信頼 を選択します。
- 信頼を右クリックして、アクセス制御ポリシーの編集 を選択します。
- 今作成したポリシーを選択します。
- OK をクリックします。ADFS サービスを再起動します。
ADFS による認証
ADFS の MFA が構成されている場合、ユーザーは組織の Web アプリケーションにアクセスする際に認証を行う必要があります。ユーザーが Web アプリケーションに移動すると ADFS SSO ページに移動され、そこで自分の AD 認証情報を入力して MFA による認証を行う必要があります。
ADFS を通じて認証を行うには、以下の手順を実行します。
- 外部 Web アプリケーションに移動します。
ADFS SSO ページにリダイレクトされます。 - ユーザー名 テキスト ボックスに、ユーザー名か電子メール アドレスを入力します。ユーザー名は user@domain 形式または domain\user 形式でフォーマットされている必要があります。
- パスワード テキスト ボックスにパスワードを入力します。
- ログイン をクリックします。
- サインイン オプション セクションから認証オプションを選択して認証を行います。
- プッシュ — 携帯電話に送信されるプッシュ通知を承認します
- QR code — AuthPoint モバイル アプリを使って QR code をスキャンし、アプリに表示された検証コードを入力します
- ワンタイム パスワード — トークンのワンタイム パスワードを入力します