今回想定する認証時のセキュリティ要件
これまでに述べたように、OpenAMは多数の認証モジュールを組み合わせて企業のセキュリティポリシーに合った認証機能を実現することができます。今回は具体例として、以下のような認証時のセキュリティ要件を想定し設定を行います。
- 社員は業務システムに社内LANからもインターネットからもアクセス可能
- 社内LANからアクセスする際は、IDとパスワードによる認証が必要
- インターネットからアクセスする際は、IDとパスワードによる認証に加え、ワンタイムパスワードによる認証も必要
- ただし最終ログイン時刻から240時間以内であれば、ワンタイムパスワードによる認証は不要
- 社内LANからDMZにあるOpenAMサーバへのアクセスは、プロキサーバ(IPアドレス:192.168.0.10)を経由する
図2:ネットワーク構成
以上の要件を満たすために、使用する認証モジュールは次の3つです。
図3:認証連鎖の設定
ユーザはまずデータストア認証モジュールにより、一般的なIDとパスワードによる認証を求められます。成功した場合、アダプティブリスク認証モジュールにより、次の不正アクセスに対するリスクの評価がされます。
合計点が設定したしきい値以下と算出された場合、そこで認証処理が終了します。逆にしきい値を上回った場合は、HOTP認証モジュールによりワンタイムパスワードでの認証が求められます。ワンタイムパスワードは、ログイン画面のワンタイムパスワード要求ボタンをクリックすることで、ユーザのメールアドレスに配信されます。
多要素認証の設定方法
設定手順は以下のようになります。
- 各認証モジュールの作成
- 認証連鎖の作成
- ワンタイムパスワード送信用メールアドレスの設定
今回設定する認証モジュールのうち、データストア認証はIDとパスワードを使う一般的な認証のため、特に設定の必要はありません。アダプティブリスク認証では、IPアドレスのチェックと最終ログイン時刻のチェックの有効化と、しきい値の設定を行います。
また、HOTP認証はワンタイムパスワードをメールで送信するため、SMTPサーバの設定を行います。送信されたメールを受信できるように、動作確認用ユーザのメールアドレス属性にメールアドレスを設定します。
以降の作業は、管理者ユーザ(amadmin)でOpenAM管理コンソールにログインして行います。
アダプティブリスクモジュールインスタンスの作成
- 「アクセス制御」タブ、「 / (最上位のレルム)」のリンク、「認証」を順次クリックして認証設定画面を開く
- モジュールインスタンスの「新規」ボタンをクリック
- 新規モジュールインスタンス画面で任意の「名前」を入力し、タイプに「アダプティブリスク」を選択して、「了解」ボタンをクリック
図5:アダプティブリスク認証モジュールの登録画面
- モジュールインスタンスの一覧に作成したモジュールインスタンスのリンクが追加されるので、これをクリックしてアダプティブリスク画面を表示
- 「リスクしきい値」を「2」に変更
- 「IP アドレスレンジチェック」の「有効」にチェック。「IP範囲」からデフォルト値の「10.0.0.0/24」を削除し、プロキシサーバのアドレスである「192.168.0.10」を追加
図6:アダプティブリスク認証の設定画面(1)
- 「最終ログインからの経過時間チェック」の「有効」にチェック。「Cookie 名」に任意クッキー名を入力し、「最終ログインからの最大時間」に「10」(240時間)を入力
図7:アダプティブリスク認証の設定画面(2)
- 「保存」ボタンをクリックして保存しから、「認証へ戻る」ボタンをクリック
