変更の開始サービスツール 多要素認証(MFA)変更の終わり

変更の開始多要素認証(MFA )は、専用サービス・ツール(DST)とシステム・サービス・ツール(SST)のサインオン・プロセスに導入されている。 MFAは2段階認証プロセスとしても知られている。 これはオプションの認証方法であり、システム・セキュリティ管理者がこれをオンにし、ユーザー・プロファイル用に設定する必要がある。 サービス・ツールの MFA 実装は、オペレーティング・システムの MFA 実装とは別である。 システム管理者は、サービス・ツールのMFAを設定し、オペレーティング・システムのMFAは設定しないか、あるいは両方を設定するか、あるいは何も設定しないかを選択できる。変更の終わり

変更の開始

以下は、MFAの概念と用語である:

  • 多要素認証(MFA): サインオン(ログイン)のためにユーザーの身元を確認するために、独立したカテゴリのクレデンシャルから複数の認証方法を要求する認証方法。 サービス・ツールのMFAは、3つのクレデンシャルを組み合わせ、サインオン・プロセスを認証する前に、3つすべてが有効であることを要求する:
    • 保守ツール・ユーザーID
    • サービスツールのユーザーパスワード
    • サービスツールの時間ベースのワンタイムパスワード(TOTP)要因
  • 追加サインオン要素を有効にする: サービスツールのセキュリティ属性オプションで、ユーザーIDとパスワードとともに追加要素(MFA)を使用できるかどうかを指定する。 これが有効な場合、サインオン画面に「追加要素」フィールドが表示される。 個々のユーザープロファイル属性は、ユーザーに追加のサインオン要素を要求するように設定できる。

    このセキュリティ・ポリシー属性は、「TOTP有効」ユーザー・プロファイル属性とは独立している。 ユーザー・プロファイルは、TOTP キーを作成し、TOTP 有効属性を設定することができる。 詳細については、 多要素認証ポリシーの変更を参照してください。

    注:

    システム・セキュリティ管理者は、ユーザ・プロファイルの現在の TOTP キーの状態に影響を与えることなく、"Additional sign-on factor enabled" 属性をオフにすることができる。 ユーザーIDプロファイルは、キーが変更されるか、ユーザーIDプロファイルが削除されるまで、既存のキーを保持する。

  • 時間ベースのワンタイムパスワード(TOTP): 特定の時間間隔(30 秒)だけ有効な一時的クレデンシャル(要素)。 セキュリティ TOTP 鍵(ユーザ、TOTP 係数を生成するクライアント認証アプリケーション、および TOTP 係数を検証するサーバのみが知っている)とシステムの現在時刻を使用するアルゴリズ ムによって生成される。 サービス・ツールの MFA は、サインオン・プロセスごとにユーザ ID、パスワード、および TOTP 要素を要求し、TOTP 要素をバイパスするためのユーザ・レベルの時間間隔を認めない。
    注:

    時間ベースのワンタイムパスワード(TOTP)には、有効で現在のシステムUTC(協定世界時)時計が必要です。 日付と時刻のシステム値を参照

    TOTPには3つの要素がある:

    • TOTPキー: TOTPキーは、サービスツールのユーザープロファイルに保存されている32文字の秘密キーです。 このキーは、TOTP を生成するクライアント認証アプリケーションに入力されます。 サービスツールはこれを TOTPキーと呼ぶ サービスツールは、独自の TOTP 鍵実装を維持し、オペレーティングシステムの MFA 実装とは共有されない。 サービスツールのユーザーIDのTOTPキーの変更 」を参照
    • TOTP ファクタ: これは、クライアント認証アプリケーションによって生成されるファクター(値)である。 生成されたTOTPファクターは、サインオン表示画面の「追加ファクター」フィールドに入力される。 生成されたTOTPファクターは、(±2×30)秒間隔で有効であり、その間隔内にサインオンに入力されなければならない。
    • TOTP リカバリ・キー: ユーザが TOTP キーまたはクライアント・アプリケーションへのアクセス権を失った場合、「追加要素」フィールドにある 64 文字の TOTP リカバリ・キーを使用してサインオンすることができます。 リカバリ・キーでサインオンした後、ユーザー・プロファイルは制限され、新しいTOTPキーの生成が必要となる。 ユーザーは、自分のプロフィールのTOTPキーの変更プロセスを完了するために、10分間という限られた時間が与えられます。 詳細については、「 サービスツールのユーザーIDのTOTPキーを変更する 」を参照してください。

  • TOTP 有効: サービスツールの多要素認証属性が有効な場合、サービスツールのサインオンプロセスにTOTP認証要素を要求することを可能にするユーザーID属性 サービスツールの多要素認証属性がオフ/無効の場合、TOTP有効属性は無視される。 詳細については、 タイムベースのワンタイムパスワード(MFA)を有効にするを 参照してください。

  • TOTP キーが存在する: サービスツールのユーザー ID ステータスは、ユーザーがユーザープロファイルに定義された有効な TOTP キーを持つかどうかを示します。 詳しくは、 サービスツールのユーザーIDを表示するを参照してください。

  • 認証方法: サービスツールのユーザー ID ステータス。サービスツールにサインインして認証する際に、ユーザープロファイルが現在 TOTP 要素を使用する必要があるかどうかを示します。 詳しくは、 サービスツールのユーザーIDを表示するを参照してください。

変更の終わり
変更の開始

多要素認証の設定と使用方法:

  1. 時間ベースのワンタイムパスワード(TOTP)は、有効で現在のシステムUTC(協定世界時)を必要とする。 システム・セキュリティ管理者は、現在有効なシステムUTC時間を設定しなければならない。 日付と時刻のシステム値を参照
  2. サービス・ツールのMFAセキュリティ属性を設定する追加サインオン要素を有効にする
  3. サービスツールのユーザーIDを作成する
  4. サービスツールのユーザーIDのTOTPキーを生成する
  5. サービスツールのユーザーIDに TOTP有効属性を設定する。
  6. ユーザIDは、ユーザID、パスワード、およびAdditional factorフィールドのTOTP factorでサインオンできる。
変更の終わり