Workspace ONE Accessには二要素認証の機能として長くVMware Verifyというアプリを使用した認証方法が利用可能でしたが、近いうちにサポート終了が予定されているのでVerify(Intelligent Hub)認証(こちらのポスト)という方法に切り替える必要があります。
ただし、Hubを使ったVerify認証はWS1 UEM管理下のスマートフォンが必要なので、PCだけを管理したいようなケースでは利用が難しいかもしれません。
そこで、最近Authenticator App認証という新しい機能が追加されたようなので、実際に使ってみることで設定方法や使い勝手などを確認してみたいと思います。
この機能はRFC 6238に準拠しているAuthenticatorアプリであれば利用ができるようなので、今回はMicrosoft Authenticatorを使用して動きを見てみます。
(試しては無いですが、おそらくGoogle Authenticatorなども利用可能です。)
大まかな流れは以下の通りです。
1.Authenticator App認証の有効化
2.認証ポリシーにAuthenticator App認証を追加
3.動作確認(Authenticator App認証でログイン)
1.Authenticator App認証の有効化
WS1 Accessの管理コンソールにログインし、[IDとアクセス管理]>[認証方法]をクリック後、[認証子アプリケーション]の編集ボタンをクリックします。
※英語の機能名[Authenticator App]が日本語になると[認証子アプリケーション]となるようです。
[Authenticator Appを有効にする]にチェックを入れ、[保存]をクリックします。
※記事作成時、日本語で表示すると文字化けしてしまったのでここだけ英語表示にしてます。
[IDとアクセス管理]>[IDプロバイダ]をクリックし、組み込みIDPで[認証子アプリケーション]にチェックを入れ保存します。
以下の設定にして保存します。今回は動作確認時にWin10を使用するためデバイスタイプをWindows10に設定していますが、他のデバイスタイプでも利用可能です。
ユーザーは次からコンテンツにアクセスしています:いずれかのデバイスタイプ
ユーザーは次を使用して認証することができます:1要素目の認証方法(パスワードなど)
および:認証子アプリケーション
【補足】
2要素認証の機能なので、1要素目の認証方法に何らか設定しないと認証子アプリケーションはプルダウンに選択肢として出てきません。
3.動作確認(Authenticator App認証でログイン)
管理コンソール側の設定は完了したので、実際に動作を見てみます。
WS1 Accessのポータルへのログインを実行し、まずは一要素目の認証を突破します。
初回認証時はAuthenticator Appの登録を要求されます。
この辺りは他のサービスでも同じような動きなので、一度別のサービスで実施したことがあればイメージがつきやすいかもしれません。
スマートフォンにMS Authenticatorアプリをインストールし、QRコードを読み込みます。
ログインが完了し、ポータル画面が表示されました。
今回のAuthenticator App認証も含め、ここ数年でFIDO2認証やCisco Duoを使った認証方法が追加されるなど、認証方法として利用可能な機能が増えてきているため、既存利用している仕組みやユースケースに応じて取れる選択肢が増えてきているなあと感じてます。
コメント
コメントを投稿