2013年7月15日月曜日

[WAAD]Active Authenticationプロバイダを利用した多要素認証を構成する

最近 Windows Azure Active Directory(WAAD)周りの更新が激しすぎて色々と試せていないことがあるんですが、順番に試して行こうと思います。

今回は、現在 Preview リリースされている Active Authentication による多要素認証の設定です。(2013/6/12にアナウンスされたものです)

 Windows Azure Active Authentication: Multi-Factor for Security and Compliance
 - http://blogs.technet.com/b/ad/archive/2013/06/12/windows-azure-active-authentication-multi-factor-for-security-and-compliance.aspx


まずは準備作業として Windows Azure 管理ポータルよりディレクトリを作成しておきます。(しかし管理ポータルの「すべてのアイテム」から作成したディレクトリを見ると「名簿」となっているのは何とかしてもらいたいもんです)


早速設定していきます。

Active Authentication プロバイダを作成します。


ここで出てくる使用モデルには「認証ごと」もしくは「有効化されたユーザごと」が選択できますが、これは課金のされ方の違いです。
「認証ごと」だと認証10回毎に\83.04、「有効化されたユーザごと」だとユーザあたり一月\83.04という金額体系になっています。

 参考)料金プラン
 - http://www.windowsazure.com/ja-jp/pricing/details/active-directory/



次に作成したディレクトリをリンクします。


うまくいくと Active Authentication プロバイダが作成されます。



次に対象とするユーザのプロパティから多要素認証を有効化します。



早速そのユーザでログオンしてみます。今回は対象アプリケーションとして Office365 を使っていますが、WAAD で認証するアプリケーションであれば何でも大丈夫です。

普通に ID / PWD でログオンすると初回は多要素認証のセットアップを要求されます。



携帯電話や Active Authentication アプリなどを使った認証の設定を自身で設定していきます。



ちなみに Active Authentication アプリの構成をクリックすると QR コードが出てくるのでアプリから読み込んでアプリを構成します。



今回は Android 版のアプリを使います。先日マイクロソフトが買収した「PhoneFactor」の名前がまだ残っています。



アプリをインストールしたら QR コードを読み込みます。



うまくいけば構成が終わるので、次回のログイン時の追加認証としてアプリへ認証要求がプッシュされます。



なんだか文字化けしていますが、こんな画面が出てくるので[認証]をタップします。



うまくいけば認証が完了し、ブラウザ側も自動的にリフレッシュされて Office365 へアクセスできます。



ちなみに、携帯電話への SMS 通知だとこんな感じです。




ブラウザに通知されたコードを入力すると認証完了です。



今回は Office365 を例に Active Authentication を行いましたが、先にも述べたように WAAD で認証を行うアプリケーションならこの機能を使うことが出来ます。
つまり、先日紹介した Google Apps や Salesforce.com などの SaaS へのログオンにもこの機能を使うことが出来ますし、同じく以前紹介した Windows Server 2012 R2 の AD FS の認証についても WAAD を使うことが出来るようになるらしいので、オンプレミスのアプリケーションについても手軽にこれらの機能を使うことが出来るようになってきます。
いよいよ本格的に IDaaS と MBaaS の機能を Windows Azure が担うようになってきた、ということですね。

0 件のコメント: