これまでAzure Active Directory(Azure AD)の多要素認証機能(MFA)には、
・Azure Authenticatorアプリによる通知もしくはOTP(ワンタイムパスワード)
・SMSによるテキストメッセージ通知
・音声による通知
の3つの手段しか2要素目として使用することが出来ず、他の要素を使いたい場合はオンプレミスのMFA Serverを構築してAD FSと連携させるしか方法がありませんでした。
要望としてはかなり前からフィードバックが上がっており、OATH対応するよ!という話はチラチラと聞こえていたんですが、ようやくオフィシャルに出てきました。
Active Directory Team Blogのエントリ
More #AzureAD MFA Coolness ? selectable verification methods and more OATH!
https://blogs.technet.microsoft.com/ad/2016/04/20/more-azuread-mfa-coolness-selectable-verification-methods-and-more-oath/
内容はというと、OATH(Initiative for Open AuTHentication)に対応しました!ということです。OATHと言えば、Google Authenticatorをはじめメジャーどころが対応している事実上の標準なので、一気に選択肢が増えたということが出来ます。
と、いうことで今回はGoogle Authenticatorを使ってみます。
◆まずはセットアップ
MFAを有効にしたユーザでAzure ADでログオンするアプリ(例えば、https://myapps.microsoft.comなど)へアクセスし、Azure ADで認証をします。初回なので、多要素認証の設定が求められるので、迷わずアプリケーション/承認コードを選択し、セットアップを行います。
セットアップをクリックすると、アプリケーションの構成画面が出るので、「そのままバーコードを読み込ませずに」、通知せずにセットアップをクリックします。
すると、バーコードとアカウント名およびシークレットが表示されます。
ここで、Google Authenticatorを起動し、QRコードを読み込ませます。
もちろん認証器によっては直接アカウント名とシークレットを入力しても大丈夫です。
正常に読み込みができると、Google Authenticator上にOTPが表示されます。
OTPが表示されたら設定は終わりなので、ブラウザ側でも完了(Done)をクリックし、アクティベーション状況を確認します。問題なければテスト通知が行います。
OTPを入力する画面が表示されるので、Google Authenticator上のOTPを入力します。
これで、完了です。
◆実際の多要素認証でログイン
ここまで行けば設定は終わっているので、多要素認証を要求するアプリケーションへのログインを行うと、パスワードに加えてOTPが要求されますので、Google Authenticator上に表示されるOTPを入力してログインします。
設定が問題なく完了していれば、これでログインできるはずです。
今回はGoogle Authenticatorを利用しましたが、OATHのTOTP(Time-based One Time Password)に対応したOTP生成器であれば基本的に使えるはずなので、ハードウェアトークンやスマホ以外の認証器でもAzure ADの多要素認証が実現できるようになるはずです。
特にハードウェアトークンの利用のニーズは健在なので、実案件への適応範囲は拡大していくと思われます。
投稿
0 件のコメント:
コメントを投稿