認証要素の構成

オンラインで編集

Verify 二要素認証に対応しています。 これは、多要素認証の一種であり、第 2 要素を使用する必要があります。第 2 要素は、ユーザーが自分のアイデンティティーを証明するために提供する必要があり、通常はシステムによって生成されるコードです。 Verifyユーザーが.NETで開発・統合されたアプリケーションにサインオンする際、セキュリティ管理を強化するため、第2の認証要素の使用を義務付ける。 ユーザーに要求する第 2 認証要素を選択します。

始める前に

  • Verify 多要素認証の動画を IBM Security Learning Academy でご覧ください。
  • このタスクを完了するには管理者権限が必要です。
  • IBM® Verify 管理者として管理コンソールにログインしてください。

このタスクについて

最初の認証要素としては、通常、ユーザー名とパスワード、QRコード、またはパスキー が用いられます。
注: ユーザーにとってより親しみやすい体験を提供するため、FIDOデバイスという用語の代わりに「パスキー」という用語を使用しています。
2つ目の認証要素は、ユーザーが所持しているもので、通常はユーザーに送信される自動生成された数字または英数字のコードです。 Verify IBM Verify アプリ、Authenticatorアプリ、 パスキー、およびワンタイムパスワード(OTP)を、認証の第二要素として使用します。 OTP は E メール、SMS、音声を介して送信すること、または送達機構を使用せずに時刻ベースで認証することができます。

OTP が有効なのは特定の期間です。 ユーザー・ログインが成功するか期限が切れると無効になります。

注: 中国の通信規制における新たな制限により、 IBM Verify SMSおよび音声メッセージが中国へ確実に配信されることを保証することはできません。 これらの制限のため、 Verify 現在、中国宛ての音声通話およびSMSメッセージの送信には対応しておりません。 SMSおよび音声メッセージに対応している Verify 国のリストについては、 「SMSおよび音声メッセージの対応国」 をご覧ください。

手順

  1. 「認証 」>「 認証要素」 を選択します。
  2. 一般的な多要素認証設定の設定
    1. ユーザーの認証要素が存在しない場合のアクションを選択します。
      • 認証を拒否します。
      • 要素を登録するオプションをユーザーに提供します。
    2. 認証要素に使用できるソースを選択します。
      • ユーザーが登録した方法: ユーザーが [ユーザー起動パッド] > [プロファイルと設定] > [セキュリティ] から選択した認証方法。
      • ユーザープロファイル属性と登録済みメソッド: ユーザーが登録したメソッドに加えて、 ディレクトリ > ユーザーとグループの下にあるプロファイルに保存されているユーザー情報も考慮されます。
    3. MFA 設定の変更が行われたときにユーザーに通知するかどうかを選択します。
      • 通知なし
      • E メールで通知
      • SMS で通知
      • いずれかの使用可能な方法で通知
      • 使用可能なすべての方法で通知
    4. ユーザーが変更通知をオーバーライドできるかどうかの指定
      ユーザーによるオーバーライドを許可しない
      テナントに設定された MFA 変更通知オプションを使用する必要があります。
      ユーザーによるオーバーライドを許可
      ユーザーは、MFA 変更通知オプションを変更して、エクスペリエンスをカスタマイズできます。
      必須
      MFA 変更通知をユーザーがオフにすることはできません。 ユーザーは、MFA 変更通知に使用可能な方法を少なくとも 1 つ持っている必要があります。
  3. 認証のために複数の MFA をユーザーに要求するかどうかを選択します。
    注: 登録内容は重複しないようにしてください。 例えば、SMS と VOTP に同じ電話番号を使用する場合、登録は 1 つだけです。 SMS に携帯電話番号を使用し、VOTP にオフィスの電話番号を使用する場合、それらは 2 つの登録です。
    1. 登録の最低数を設定する 」チェックボックスを選択して、ユーザーが保有しなければならない多要素認証の登録数を設定します。
      最低要件は1つです。 最大値は25です。 要件には、現在日付のタイム・スタンプが付けられます。 その時点で、ユーザーは、アプリケーションにログインするときに、複数の MFA 登録を最低限セットアップする必要があります。
      注: Verify 必要最低限の登録数を算出する際、DUOやその他の対応プロバイダーによる外部MFA登録も考慮されます。
    2. オプション: [エンドユーザーによる登録のスキップを許可する ] チェックボックスをオンにすると、既存ユーザーに対して猶予期間を設定できます。
      注: このオプションは、ユーザーがすでに2要素認証を行うための登録を1つ以上持っている場合にのみ、登録をスキップできるようにするものです。 それ以外の場合は、このオプションを有効にするために、少なくとも1つの第2要素認証に登録する必要があります。
      猶予期間中も、ユーザーは必要な MFA 登録を行わなくてもアプリケーションにログインできます。 猶予期間が経過すると、ユーザーは複数の MFA 要件を満たすまでアプリケーションにアクセスできなくなります。 猶予期間は、開始日のタイム・スタンプに基づきます。 新規登録されたユーザーの場合、登録後に猶予期間が開始されます。
    3. 最小 MFA 要件が適用される ID プロバイダーを少なくとも 1 つ選択してください。
      少なくとも 1 つの ID プロバイダーを選択するまで、変更を保存することはできません。 要件をすべての ID プロバイダーに適用するには、ID プロバイダーチェック・ボックスを選択します。
  4. ユーザー Verify に対して有効または無効にする認証要素を選択してください。
    注:
    • 選択すると、その認証要素が実行時の使用のために有効になり、構成可能な設定が表示されます。
    • 複数の認証要素を有効にできます。 その場合、ユーザーは、希望する方法を選択するように求められます。その後、ワンタイム・パスワードが送信および検証されます。
    認証要素 説明
    多要素認証 (MFA) の一般設定
    MFA チャレンジのときに、要素が存在しないとき (When no factors are present during an MFA challenge)
    アプリケーションへのアクセスに二要素認証が必要であり、登録済みの認証要素がない場合、認証を失敗させるか、ユーザーに認証要素の登録を許可するかを選択してください。
    以下のソースからの第 2 要素を許可する
    デフォルトでは、ユーザー・プロファイル属性と登録された方式の両方の第 2 要素が許可されます。 ユーザープロファイルに登録されているメールアドレスや携帯電話番号、および登録済みの認証方法は、すべて二要素認証として利用可能です。 Verifyまた、セカンドファクターを、に登録されている認証方法に限定するように設定することもできます。
    行動バイオメトリクス 従来のユーザー名とパスワードによる認証時の行動パターン上の異常を検出 authentication.Detects 従来のユーザー名とパスワードによる認証時の行動パターン上の異常を検出。
    メール・ワンタイム・パスワード

    パスワードが生成されて、ユーザーの登録済み E メール・アドレスに送信されます。

    このオプションはデフォルトで有効になっています。

    注: ユーザーは登録済みのメールアドレスを持っている必要があります。 そうでないと、ワンタイム・パスワードを送信できないため、このオプションを選択してもユーザーに提示されません。
    SMS ワンタイム・パスワード

    パスワードが生成されて、ユーザーの登録済み携帯電話番号に送信されます。

    このオプションはデフォルトで有効になっています。

    注: ユーザーは携帯電話番号を登録している必要があります。 そうでないと、ワンタイム・パスワードを送信できないため、このオプションを選択してもユーザーに提示されません。
    時刻ベースのワンタイム・パスワード

    パスワードは、標準の時刻ベース・ワンタイム・パスワード・アルゴリズムを使用して生成されます。

    パスワードは送信も保存もされません。 これらは一定の間隔で生成されるため、TOTP検証サーバーとクライアントとの間で一致していることが確認されます。

    まず、ユーザーはQRコードをスキャンするか、 IBM Verify や Google AuthenticatorなどのTOTPモバイルアプリで表示される認証コードを入力して、アカウントを登録する必要があります。
    注: ユーザーは携帯電話番号を登録済みである必要があり、 IBM Verify または Google の認証アプリをダウンロードしてインストールしている必要があります。
    音声によるワンタイム・パスワード

    パスワードが生成されて、ユーザーの登録済み電話番号に送信されます。 この電話番号は携帯電話でも固定電話でも構いません。
    IBM Verify 認証 認証は、ユーザーが物理的に存在することをデバイスで確認するランタイム・チャレンジを介して実行されます。 デバイス・ベースの指紋認証が要求される場合もあります。
    注: ユーザーは、 IBM Verify、または IBM Verify モバイルSDKを使用したカスタムモバイルアプリをダウンロードしてインストールする必要があります。 ユーザーには登録済みのモバイル・オーセンティケーターも必要です。
    QR コード・ログイン構成

    アプリケーションは、qrlogin 検証トランザクションを開始し、ユーザーが IBM Verify を使用してその検証要求を完了するまで待機してから、ランタイム・アクセスを続行できます。 「QRコードによるパスワード不要の認証」 を参照してください。
    注: パスキー による認証を有効にするには、 「 FIDO2 デバイスの管理」 を参照してください。
  5. オプション: メールによるワンタイムパスワードまたは SMSによるワンタイムパスワードを有効にしている場合、以下の設定を行ってその動作を制御できます:
    表 1. メールおよびSMSによるワンタイムパスワードの設定
    情報 説明
    有効期間 (秒) パスコードの有効期限。
    長さ

    ワンタイム・パスワードの値に含まれる文字数。

    最小値は 1.

    20最大値は です。

    6デフォルトは. です。
    パスワードの文字セット

    ワンタイム・パスワードの値に使用できる有効な文字のセット。 英字と数字を使用できます。

    0123456789デフォルト値は. です。
    再試行 許容される認証失敗回数。これを超えると、パスワードの有効期限が切れ、ユーザーは新しい認証トランザクションを開始しなければならなくなります。
    使用可能なドメイン OTP パスワード・メッセージの送信先となる E メール・ドメインを指定します。 複数のドメインを指定できます。 正規表現パターンを使用して、追加のドメインを指定できます。
    拒否されたドメイン OTP パスワード・メッセージの送信先にしてはならない E メール・ドメインを指定します。 複数のドメインを指定できます。 正規表現パターンを使用して、追加のドメインを指定できます。
  6. オプション: 時間ベースの一時パスワードを有効にしている場合、以下の設定を行ってその動作を制御できます:
    表 2. 時間ベースの一時パスワードの設定
    設定 説明
    ハッシュ・アルゴリズム

    時刻ベースのワンタイム・パスワードを生成するアルゴリズム。 TOTP アルゴリズムでは、SHA ハッシュ関数と組み合わされたハッシュ・ベースのメッセージ認証コード (HMAC) を使用します。

    以下のオプションから選択します。
    • HMAC-SHA-1
    • HMAC-SHA-256
    • HMAC-SHA-512

    HMAC-SHA-1 がデフォルトのハッシュ・アルゴリズムです。
    生成間隔 (秒)

    次の TOTP が生成される前に、TOTP が有効である最大秒数。 この時間が経過した後に、TOTP 生成プログラムおよびサーバー検証によって新しい TOTP が生成されます。

    30デフォルト値は. です。

    注: 間隔の変更は、変更後に発生する登録にのみ影響します。 既存の登録は、前の値を使用し続けます。 新しい値を使用するには、既存の登録を削除して再作成する必要があります。
    スキュー間隔

    スキュー間隔は、生成された OTP をサーバーが受け入れるクライアント・デバイスのタイム・スタンプからの間隔の ± 数です。

    0例:7世代ごとのOTP値が記載された以下の表を用い、サーバー上の現在時刻が「間隔」に対応する場合のOTP検証について考えてみましょう。 「スキュー間隔」2 に設定されている場合に、ユーザーが間隔 0 から 2 までの OTP 値を提示すると、OTP 検証は成功します。
    間隔 タイム・スタンプ OTP
    3 09:00:10 876 123
    ※2 09:00:40 543 456
    1 09:01:10 210 789
    0 09:01:40 987 012
    1 09:02:10 654 345
    ※2 09:02:40 321 678
    3 09:03:10 761901

    デフォルト値は 1、許容される最小値は 0 です。

    ワンタイム・パスワードの値に含まれる文字数。

    最小値は 6.

    12最大値は です。
    秘密鍵 URL

    秘密鍵の送信および QR コード生成用の URL。

    URL 形式には、ご使用の環境に固有の情報 (会社名など) を含めることができます。

    デフォルト URL を以下に示します。 otpauth://totp/IBM%20Security%20Verify:@USER_NAME@?secret=@SECRET_KEY@&issuer=IBM%20Security%20Verify&algorithm=@ALGORITHM@&digits=@DIGITS@&period=@PERIOD@

    https注:URL には、またはを含めて http はなりません。 常に otpauth://totp/ で開始する必要があります。
    ワンタイム使用

    ターゲット・リソースへのワンタイム・パスワードを使用したログインが成功した場合に、ワンタイム・パスワードを再使用のためにキャッシュに入れるかどうかを示します。

    有効にすると、検証サーバーで有効な TOTP 値を最大 1 回使用できます。 無効にすると、有効な TOTP 値が検証期間中に複数回検証される場合があります。

    デフォルトでは、このオプションが選択されています。 選択すると、ユーザーはキャッシュされている間はパスワードを再使用できません。
    ユーザーあたりの登録数

    特定のユーザーが登録できる最大人数。

    最小値は 1.

    5最大値は です。
  7. オプション: 音声ワンタイムパスワードを有効にしている場合、以下の設定を行ってその動作を制御できます:
    表 3. 音声ワンタイムパスワードの設定
    情報 説明
    有効期間 (秒) パスコードの有効期限。
    長さ パスコードに含める文字数。 1 文字以上でなければなりません。
    文字セット パスコードに使用する文字セット。 英字と数字を使用できます。
    再試行 許容される認証失敗回数。これを超えると、パスワードの有効期限が切れ、ユーザーは新しい認証トランザクションを開始しなければならなくなります。
  8. オプション: IBM Verify 認証を有効にした場合、以下の設定を行ってその動作を制御できます:
    表4. IBM Verify 認証設定
    情報 説明
    相関コード
    注:
    • 相関コードを使用するには、認証方法 Verify のうち少なくとも1つを有効にする必要があります。
    • OTPページをカスタマイズしている場合は、新しい相関コードのロジックに合わせて更新する必要があります。
    このオプションを有効にすると、いずれかの認証方法に加えて、相関コードを使用できるようになります。 実行時の確認画面では、アプリが認証を承認または拒否する前に、画面に表示された照合コードをアプリIBM Verify に入力するようユーザーに求めます。
    IBM Verify 認証方法 これらの認証方法は、 IBM Verify、または IBM Verify モバイルSDKを使用するカスタムモバイルアプリでサポートされています。 これらは、ユーザーが実際に存在し、登録済みのモバイル認証アプリを所持していることを確認するための、基本的なアウト・オブ・バンド認証を提供します。 登録は、モバイル認証アプリで生成され、登録に使用される公開鍵の交換によってVerify行われます。 承認された検証とは、モバイル認証装置が、登録済みの公開鍵に関連付けられ、モバイル端末に保存されている秘密鍵を用いて、検証トランザクションデータに署名することをVerify 指します。 各認証方式では、サポートされているアルゴリズムと優先アルゴリズムを選択することができます。
    サポート対象アルゴリズム
    登録およびランタイム検証トランザクションならびにチャレンジ中に使用できる暗号アルゴリズム。 これらの設定は、登録プロセス時にモバイル・オーセンティケーターに転送されます。
    優先アルゴリズム
    鍵生成登録に優先される暗号アルゴリズム。

    サポートされている認証方法は以下の通りです:

    ユーザー存在
    この実行時の処理では、ユーザーはUI上のプロンプトを選択して、検証を承認するか拒否する必要があります。
    ユーザーは、端末ベースの顔認証を行う必要があります。 秘密鍵はモバイル・オーセンティケーターによってデバイス鍵チェーン内に保管され、デバイス・ベースの顔認証によって保護されます。
    指紋
    ユーザーは、端末ベースの指紋認証を行う必要があります。 秘密鍵はモバイル・オーセンティケーターによってデバイス鍵チェーン内に保管され、デバイス・ベースの指紋認証によって保護されます。
  9. オプション: QRコードログインの設定を有効にしている場合、以下の設定を行って動作を制御できます:
    表5. QRコードログインの設定
    情報 説明
    有効期限 認証フローを完了するために、QRコードが有効期限切れになるまでの間、ユーザーがQRコードをスキャンし続けなければならない秒数。
    ログイン・セッション索引
    文字数
    使用する必要がある最小文字数を指定します。
    文字セット
    使用できる英数字のセットを定義します。
    デバイス・セッション索引
    文字数
    使用する必要がある最小文字数を指定します。
    文字セット
    使用できる英数字のセットを定義します。
  10. 「保存」 を選択します。

次の手順

アクセス・ポリシーをセットアップし、どのような場合に認証の第 2 要素を使用するかを決定します。 「ポータルのアクセス管理」 を参照してください。