AuthPoint MFA では、各ユーザーがモバイル デバイス上に AuthPoint アプリをインストールしてトークンをアクティブ化します。その後ユーザーはアプリを使用し、プッシュ、QR code またはワンタイム パスワード (OTP) 認証方法を使って認証することができます。また、ユーザーは、サードパーティ製ハードウェアのトークンを使って OTP による認証をすることができます。
ユーザーが認証を必要とするリソースにログインを試みると、AuthPoint シングル サインオン (SSO) の認証ページが表示されます。ログインするには、ユーザーは AuthPoint パスワード (必要な場合) を入力し、認証方法を選択します。使用できる認証方法は、ユーザーの AuthPoint グループに割り当てられている認証ポリシーによって異なります。リソースによっては、特定の認証方法が必要な場合や、特定の方法のみ許可する場合があります。
ユーザーが 3 回連続して認証試行に失敗すると、AuthPoint によって認証に使用されたトークンが自動的にブロックされます。AuthPoint 管理者がトークンのブロックを解除するまで、そのブロックされたトークンを使用して認証を行うことはできません。
ユーザーが認証を行うと、Web ブラウザがセッションを作成し、8 時間そのユーザーのことを記憶します。そのユーザーのセッションがアクティブである間は、リソースによってよりセキュアな認証方法が求められない限り、ユーザーは SAML リソースや RD Web リソース、IdP ポータルで再度認証を受ける必要がありません。
以下に、セキュリティの高いものから低いものの順に認証方法を示します。
- プッシュ通知と QR code
- ワンタイム パスワード
- パスワード
例えば、IdP ポータルにログインするのにパスワードと OTP を使って認証を行います。これにより、許可された認証オプションとして OTP が使用されている、またはパスワードしか必要としない任意のリソースに、認証を行うことなくログインできるようになります。
以下の表は、どの場合に認証済みユーザーが再認証しなければならないかを示しています。
| 以下を使って以前に認証済みのユーザー: | ポリシーの認証オプション | 認証アクション |
|---|---|---|
| パスワード | パスワード | 認証なしのログイン |
| パスワード | パスワード + OTP、QR code またはプッシュ | ユーザーは OTP、QR code またはプッシュを使って認証しなければなりません (パスワードは不要) |
| OTP | パスワードまたは OTP | 認証なしのログイン |
| OTP | パスワード + QR code またはプッシュ | ユーザーは再度 QR code またはプッシュを使って認証しなければなりません (パスワードは不要) |
| OTP | OTP、QR code またはプッシュ | 認証なしのログイン |
| QR code またはプッシュ | どれでも使用可能 | 認証なしのログイン |
プッシュ認証
プッシュ認証の場合は、AuthPoint から携帯電話にプッシュ通知が送信されます。承認をタップして認証を行い、アプリケーションにアクセスするか、拒否をタップして、本人からではないアクセスを拒否することができます。
プッシュ認証を使用するには、以下の手順を実行します。
- MFA を要求しているアプリケーションまたはサービスに移動します。
AuthPoint SSO の認証ページにリダイレクトされます。 - ユーザー名または電子メール アドレスを使用してログインします。
- AuthPoint パスワードを入力して (必要な場合)、認証方法として プッシュ を選択します。
- 携帯電話に送信されるプッシュ通知で、承認 をタップして認証を行い、ログインします。
プッシュを承認する際は、AuthPoint アプリが開いている必要はありません。
トークンが保護されている場合は、プッシュ通知を承認しようとすると、AuthPoint アプリが開いて、生体認証 ID または PIN でトークンをロック解除することを促すメッセージが表示されます。検証後、プッシュ通知を承認または拒否することができるようになります。
QR Code
QR code は四角いバーコードで、携帯電話でスキャンしてそのデータを読み取ることができます。AuthPoint では、セキュアな QR code を使用して、認証のための検証コードが提供されます。AuthPoint QR code を復号化できるのは、内蔵の AuthPoint アプリ QR code リーダーのみです。
QR code で認証するには、以下の手順を実行します。
- MFA を要求しているアプリケーションまたはサービスに移動します。
AuthPoint SSO の認証ページにリダイレクトされます。 - ユーザー名または電子メール アドレスを使用してログインします。
- AuthPoint パスワードを入力して (必要な場合)、認証方法として QR Code を選択します。
QR code が入った新しいページが表示されます。 - AuthPoint アプリを開いて、
をタップして QR code リーダーを開きます。 - コンピュータ画面の QR code に携帯電話のカメラを向けます。
AuthPoint アプリにより QR code が読み取られて、一時的な検証コードが入った認証要求ページが表示されます。 - 検証コード テキスト ボックスに、AuthPoint アプリからの 6 桁の検証コードを入力します。
- 完了 をクリックします。
トークンが PIN で保護されている場合は、PIN を入力して、検証コードが入った 認証要求 ページを表示する必要があります。
ワンタイム パスワード
OTP (ワンタイム パスワード) は、短期間のみ有効な一意の一時的なパスワードです。認証に使用する通常のパスワードに加えて OTP が使用されます。AuthPoint アプリの トークンの管理 ページで、各トークンの OTP と OTP の有効期間を確認することができます。保護されているトークンの OTP は、そのトークンがロック解除されるまで非表示となります。
OTP で認証するには、以下の手順を実行します。
- MFA を要求しているアプリケーションまたはサービスに移動します。
AuthPoint SSO の認証ページにリダイレクトされます。 - ユーザー名または電子メール アドレスを使用してログインします。
- AuthPoint パスワードを入力して (必要な場合)、認証方法として OTP を選択します。
- ワンタイム パスワード テキスト ボックスに、AuthPoint アプリでトークンに示されている OTP を入力します。必要に応じて、トークンをロック解除します。
- 完了 をクリックします。
RADIUS 認証では、パスワードの末尾に OTP を追加します。スペースを追加しないでください。