2015年7月2日木曜日

[Azure MFA]新Azure AuthenticatorアプリでGoogle2段階認証を使う

Azure Active Directory(AzureAD)やOffice365を使っている方ならみんな使っている(はずの)、多要素認証ですが、SMS、電話、アプリケーションといった選択肢がある中、みなさんどんな方法で多要素認証してますか?


私はもちろん一番手軽な方法であるAzure Authenticatorアプリケーションを使っています。
ログイン時に通知されるのでアプリで[認証]をタップするだけでログインできます。



実はこのAuthenticatorアプリケーションがアップデートされ、ワンタイムパスワードの標準仕様であるOATH(TOTP)に対応しました。
※OATHでは、セットアップ時に決めたシークレットとカウンタ(TOTPの場合、UNIXタイム)を元にハッシュ値を計算してワンタイムパスワードを決めます。

このことにより、同じOATHに対応した多要素認証の仕組みを持つ、GoogleやMicrosoft Accountなどにもこのアプリケーションを使うことができるようになりました。

 公式blog)
 Try the new Azure Authenticator application!

早速やってみました。

◆Googleの2段階認証を設定する

Googleアカウントの2段階認証を有効にし、Authenticatorの登録を行います。


登録画面で通常はGoogle Authenticatorを使ってQRコードを読み取るのですが、ここでAzure Authenticatorを使って読み込んでみます。


うまく読み込めるとGoogleというエントリと6ケタのコードが表示されますので、Google側にcodeを設定してVerifyします。
これで設定は完了です。

次に、2段階認証を設定したユーザでGoogleのサービスへログインします。
するとワンタイムパスワードの入力を求められるので、Azure Authenticatorを開いて表示されている6ケタのコードを入力します。

これでログインできました。


◆逆はどうだ?

ここまでは何のひねりもありませんので、今度はGoogle Authenticatorを使ってAzure ADへログインできるかどうか確認してみます。

手順は先にGoogleでやったのと同じで、Azure ADで多要素認証を有効にし、Authenticatorの登録を行います。少なくともGoogle Authenticatorにはボタン一発認証機能はないので、通知方法には「ワンタイムパスワード」を選択します。
同じようにQRコードが表示されるので、Google Authenticatorで読み込んでみます。
すると、、、、、読み込めませんでした。

逆はダメなんですね。。。。


ちなみにこの後、Ping IdentityのPingIDやIIJのSmartKeyなど同様のアプリケーションを使ってAzure ADの多要素認証用のQRコードを読み込ませてみましたが、どれも一様にエラーをだしました。
残念です。

たとえば、現在Google AppsをGoogle Authenticatorで使っているユーザをAzure ADへ引っ越してもらう、というようなユースケースで利用者の負担を減らせるので良いのになぁ、、と思ってしまいます。

引き続きウォッチですね。

0 件のコメント:

コメントを投稿