タイムベースドワンタイムパスワード(TOTP)をSMA1000シリーズで構成する方法
Description
SMA 1000シリーズは、ファームウェア12.2.0からTOTPに対応しています。装置は、OTPを生成してメールで送信したり(SMTPの設定が必要)、Google AuthenticatorやMicrosoft AuthenticatorなどのモバイルアプリでTOTPを生成することができます。この手順ではアプライアンスにTOTPを設定する方法と、ユーザーのログインフローを説明します。
Cause
TOTP(Time-based One Time Password)は、アルゴリズムによって生成され、そのアルゴリズムでは、各OTPがユニークであることを保証するために、現在の時刻を要因の1つとして使用しています。TOTP(Time-Based One-Time Password)は、二要素認証の代替手段であり、従来の二要素認証技術と比較すると、より費用対効果の高い方法です。
Resolution
前提条件:
TOTPは時間を感知するアルゴリズムであるため、OTP不一致エラーを避けるために、NTPが設定され、機器の日付/時刻が同期していることを確認してください。
TOTPの構成手順:
1. TOTPの一般設定を行う: AMCにログインし、「Authentication Servers」に移動します。Other serversの項目でConfigure time-based one-time password (TOTP) settingsの横にあるEditをクリックします。
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYJ.png)
Enable time-based one-time passwordを有効にし、Saveをクリックします。Time difference, Lock account after failed attempts, Automatically unlock accountは、お客様のご要望に応じて設定することができます。
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYL.png)
TOTPユーザーの管理方法について は [[SMA 1000シリーズでTOTPユーザを管理する|221115195422360]]を参照してください。
2. Authentication ServerでTOTPを有効にします: TOTPが必要な各認証サーバを編集し、Advancedを展開します。
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYE.png)
One-Time Passwordsの項目の下の,
"Use one-time passwords with this authentication server". と
"Use the configured TOTP service. Passwords will be generated by the user on an app". を有効にします。
"Service name:" アプリ内で識別するための名前を設定します。この名前は、アプリ内でアカウント名と一緒に表示されます。
"Allow user to deregister account" Wokrplaceからユーザーが自分でTOTPアカウントの登録を解除できるようにしたい場合に有効にします。
"Use back-up codes" ユーザーがTOTPを生成するために携帯電話にアクセスできない場合に備えて、バックアップコードを提供したい場合に有効にします。
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYB.png)
また、特定の信頼できるネットワークからのユーザーのみ登録を許可することもできます。+アイコンをクリックして、ネットワークを追加します。何も追加しない場合は、どのネットワークからの登録も許可されます。
3. Realmsに移動し、TOTPが必要な各RealmにAuthentication Serverを割り当てPending Chagesを適用します。
TOTPログインのためのユーザー登録方法:
シナリオ 1: TOTP設定後、初めてWorkplaceにログインするユーザー
アプリ(Google AuthenticatorやMicrosoft AuthenticatorなどのTOTPアプリ)を起動し、「新しいアカウントを追加」を選択して、職場に表示されているQRコードをスキャンするか、「手動入力」を選択してQRコードの上に表示されている秘密鍵を入力してください。 スキャンすると、アプリにTOTPが生成されます。Enter the 6 digit code generated by the One Time Password app" テキストボックスにTOTPを入力し、"Ok "をクリックします。をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYA.png)
アプリ(Google AuthenticatorやMicrosoft AuthenticatorなどのTOTPアプリ)を起動し、「新しいアカウントを追加」を選択して、職場に表示されているQRコードをスキャンするか、「手動入力」を選択してQRコードの上に表示されている秘密鍵を入力してください。 スキャンすると、アプリにTOTPが生成されます。Enter the 6 digit code generated by the One Time Password appテキストボックスにTOTPを入力し、"Ok "をクリックします。
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmY5.png)
バックアップコードを有効にすると、ユーザーが利用できるバックアップコードが表示されます。ユーザーは、バックアップコードをコピーして安全に保管することができます。TOTPを生成するアプリにアクセスできない場合、バックアップコードを使用してログインすることができます。Okをクリックするとログインします。
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYN.gif)
バックアップコードは、Workshopにログインしているときに、 Detailsから再び確認することができます。バックアップコードを今すぐコピーして、大切に保管してください。
バックアップコードはDetailsのWorkPlaceから24時間以内に1回だけ更新できます。
バックアップコードは1回限り使用できるコードで、Detailsに未使用のコードのみが表示されます。
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYD.png)
Workplace / Connect Tunnel / Mobile Connectから以降にログインする場合、ユーザーはアプリ/バックアップコードから6桁のTOTPを入力するよう促されます。
Workplaceから2回目以降のログイン:
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYF.png)
Connect Tunnelから2回目以降のログイン:
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmY7.png)
シナリオ 2: TOTP設定後、ユーザーが初めてConnect Tunnelにログインする。
ユーザーは、Connect Tunnelに表示されたQRコードをスキャンするか、Manual enterを選択してConnect Tunnelに表示されたシークレットキーを入力することで、アプリにアカウントを追加することができます。
をSMA1000シリーズで構成する方法-kA1VN0000000D8X0AU-0EMVN00000EnmYH.png)
Invalid TOTP codeエラーのトラブルシューティングについては[[TOTP認証に失敗する-Google/Microsoft 2FAによる2要素認証でパスワードが無効|221115195932117]]を参照ください。
