さまざまなSaaSやVMware Horizonの認証機構として非常に広く活用されているWorkspace ONE Access(以下、WS1 Access)ですが、新しい二要素認証機構をサポートしました。
(筆者環境では6/13に利用可能になったことを確認)
この新しい認証方式は、”Authenticator App”という名称になり、TOTP(Time-Based One Time Password)RFC6238にて定義されたアルゴリズムに準拠した認証システムアプリ(*)をApple App Store もしくは Google Play からダウンロードし、WS1 Accessの二要素認証に利用できるようになります。
(*)現在動作確認がとれているのは、Twillo Authy、Google Authenticator、Microsoft Authenticator、Okta Verifyとなります
管理者がAuthenticator Appを有効した後、ユーザーがWS1 Accessにサインインすると、Authenticator Appがデバイスに表示する6桁のパスコードを入力するように求められます。ユーザーは、新しいパスコードが表示される前(通常は30秒)に、パスコードを入力し、認証を行います。
(図) QRコードを使用して認証システムアプリ画面を登録する
Authenticator Appを有効化する方法
1. WS1 Accessの管理コンソールにログオンし、初めに必ず、New Navigationを有効にしてください。
※後続の作業は、この新しいUIでなければ実行できない操作があります。
2. “Integrations” > “Authentication Methods”から Authenticator Apps を選択します
3. “Configure”を選択します
a) トグルアイコンをクリックし、Authenticator App Adaptorを有効にします
b) [Number of re-tries allowed]フィールドにサインインの試行が失敗してアクセスが拒否される回数を設定します。(デフォルトは5回です。)
c) [Enter the custom text for registration] フィールドに、インストール方法や操作方法を説明する文章を設定します。
d) [Enter the custom text for recovery]フィールドに、ユーザーが認証システムアプリからサインインできない場合の対処方法を説明する文章を設定します。
4. 保存します
5. “Integrations” > “ Identity Providers” から Authenticator Appを有効にしたいBuilt-in プロバイダーを選択します。
a) Authenticator Appを有効化します
b) 保存します
6. 最後に、利用したい条件(ネットワーク・デバイス・ユーザー)に応じて、認証ポリシーを修正します。
動作確認
1. Access Policyで設定した、Authenticator Appでの認証が求められているユーザーでログオンすると、QRコードが表示され、認証アプリへの登録を求められます。
2. コードをスキャンもしくは代替えコードを入力することにより、認証アプリを登録します。
3. 以降は、QRコードは表示されず、認証アプリから生成されたコードを入力する画面が表示されます。
端末のリセット
盗難・紛失などにより端末に利用できなくなった時など、なんらかの原因でAuthenticator Appを使用してサインインできない場合、管理者は登録済みのAuthenticator Appを管理コンソールからリセットする必要があります。”Users” > “Two Authentication” の “Authenticator App”セクションの [RESET]をクリックすると、登録済みの認証システムアプリの情報が削除されます。
ユーザーは、次にサインインするときに認証システムアプリを再度登録するように求められます。
最後に
このTOTPを利用したAuthenticator Appは従来の二要素認証に比べると非常に導入ハードルも低く、またWorkspace ONE Accessに付随しているため、非常に利用しやすくなっております。
特に今年2022年10月31日には、VMware Verifyは終了することがアナウンスされており、後継製品を検討されているお客様には良い選択肢になるのではないかと考えます。是非、ご検討ください。
