Azure Active Directory(AzureAD)やOffice365を使っている方ならみんな使っている(はずの)、多要素認証ですが、SMS、電話、アプリケーションといった選択肢がある中、みなさんどんな方法で多要素認証してますか?
私はもちろん一番手軽な方法であるAzure Authenticatorアプリケーションを使っています。
ログイン時に通知されるのでアプリで[認証]をタップするだけでログインできます。
実はこのAuthenticatorアプリケーションがアップデートされ、ワンタイムパスワードの標準仕様であるOATH(TOTP)に対応しました。
※OATHでは、セットアップ時に決めたシークレットとカウンタ(TOTPの場合、UNIXタイム)を元にハッシュ値を計算してワンタイムパスワードを決めます。
このことにより、同じOATHに対応した多要素認証の仕組みを持つ、GoogleやMicrosoft Accountなどにもこのアプリケーションを使うことができるようになりました。
公式blog)
Try the new Azure Authenticator application!
早速やってみました。
◆Googleの2段階認証を設定する
Googleアカウントの2段階認証を有効にし、Authenticatorの登録を行います。
登録画面で通常はGoogle Authenticatorを使ってQRコードを読み取るのですが、ここでAzure Authenticatorを使って読み込んでみます。
うまく読み込めるとGoogleというエントリと6ケタのコードが表示されますので、Google側にcodeを設定してVerifyします。
これで設定は完了です。
次に、2段階認証を設定したユーザでGoogleのサービスへログインします。
するとワンタイムパスワードの入力を求められるので、Azure Authenticatorを開いて表示されている6ケタのコードを入力します。
これでログインできました。
◆逆はどうだ?
ここまでは何のひねりもありませんので、今度はGoogle Authenticatorを使ってAzure ADへログインできるかどうか確認してみます。
手順は先にGoogleでやったのと同じで、Azure ADで多要素認証を有効にし、Authenticatorの登録を行います。少なくともGoogle Authenticatorにはボタン一発認証機能はないので、通知方法には「ワンタイムパスワード」を選択します。
同じようにQRコードが表示されるので、Google Authenticatorで読み込んでみます。
すると、、、、、読み込めませんでした。
逆はダメなんですね。。。。
ちなみにこの後、Ping IdentityのPingIDやIIJのSmartKeyなど同様のアプリケーションを使ってAzure ADの多要素認証用のQRコードを読み込ませてみましたが、どれも一様にエラーをだしました。
残念です。
たとえば、現在Google AppsをGoogle Authenticatorで使っているユーザをAzure ADへ引っ越してもらう、というようなユースケースで利用者の負担を減らせるので良いのになぁ、、と思ってしまいます。
引き続きウォッチですね。
投稿
0 件のコメント:
コメントを投稿