2016年4月22日金曜日

[Azure AD]サードパーティのOATH対応トークンで多要素認証

こんにちは、富士榮です。

これまでAzure Active Directory(Azure AD)の多要素認証機能(MFA)には、
・Azure Authenticatorアプリによる通知もしくはOTP(ワンタイムパスワード)
・SMSによるテキストメッセージ通知
・音声による通知
の3つの手段しか2要素目として使用することが出来ず、他の要素を使いたい場合はオンプレミスのMFA Serverを構築してAD FSと連携させるしか方法がありませんでした。

要望としてはかなり前からフィードバックが上がっており、OATH対応するよ!という話はチラチラと聞こえていたんですが、ようやくオフィシャルに出てきました。

 Active Directory Team Blogのエントリ
  More #AzureAD MFA Coolness ? selectable verification methods and more OATH!
  https://blogs.technet.microsoft.com/ad/2016/04/20/more-azuread-mfa-coolness-selectable-verification-methods-and-more-oath/


内容はというと、OATH(Initiative for Open AuTHentication)に対応しました!ということです。OATHと言えば、Google Authenticatorをはじめメジャーどころが対応している事実上の標準なので、一気に選択肢が増えたということが出来ます。

と、いうことで今回はGoogle Authenticatorを使ってみます。

◆まずはセットアップ

MFAを有効にしたユーザでAzure ADでログオンするアプリ(例えば、https://myapps.microsoft.comなど)へアクセスし、Azure ADで認証をします。
初回なので、多要素認証の設定が求められるので、迷わずアプリケーション/承認コードを選択し、セットアップを行います。

セットアップをクリックすると、アプリケーションの構成画面が出るので、「そのままバーコードを読み込ませずに」、通知せずにセットアップをクリックします。


すると、バーコードとアカウント名およびシークレットが表示されます。


ここで、Google Authenticatorを起動し、QRコードを読み込ませます。
もちろん認証器によっては直接アカウント名とシークレットを入力しても大丈夫です。


正常に読み込みができると、Google Authenticator上にOTPが表示されます。


OTPが表示されたら設定は終わりなので、ブラウザ側でも完了(Done)をクリックし、アクティベーション状況を確認します。問題なければテスト通知が行います。

OTPを入力する画面が表示されるので、Google Authenticator上のOTPを入力します。



これで、完了です。


◆実際の多要素認証でログイン

ここまで行けば設定は終わっているので、多要素認証を要求するアプリケーションへのログインを行うと、パスワードに加えてOTPが要求されますので、Google Authenticator上に表示されるOTPを入力してログインします。



設定が問題なく完了していれば、これでログインできるはずです。




今回はGoogle Authenticatorを利用しましたが、OATHのTOTP(Time-based One Time Password)に対応したOTP生成器であれば基本的に使えるはずなので、ハードウェアトークンやスマホ以外の認証器でもAzure ADの多要素認証が実現できるようになるはずです。

特にハードウェアトークンの利用のニーズは健在なので、実案件への適応範囲は拡大していくと思われます。

0 件のコメント: