18種のMFA 多要素認証
OneLoginで使用可能なMFA(18種)
OneLoginでは、多数のMFA(多要素認証)を利用可能です。スマートフォンOTPはもちろんのこと、証明書による端末・利用者ベースの認証や、指紋認証や顔認証機能を搭載したPCでの生体認証もMFAとしてご利用いただけます。
生体認証
![Touch IDを使ったMFA](./images/features_4.webp)
Touch ID
![Windows Helloを使ったMFA](./images/windows_hello.webp)
Windows Hello
OTP認証(OneLogin)
![OneLogin Protectアプリ](./images/mfa_otp_onelogin.webp)
OneLogin Protect
(OneLogin OTP App)
![](./images/mfa_otp1.webp)
SMS OTP・Email OTP・WebAuthn(対応デバイス)
![](./images/mfa_otp2.webp)
Voice OTP (音声通話OTP)・Security Questions (秘密の質問)
(サードパーティ)
![Symantec VIP Access](./images/symantec.webp)
Symantec VIP Access
![RSA SecurID](./images/rsasecurid.webp)
RSA SecurID
証明書認証
![ユーザー証明書選択画面](./images/mfa_cert2.webp)
User Cert.
(OneLoginが提供するユーザー証明書)
![デバイス証明書](./images/device_cert.webp)
Device Cert.
(OneLogin Desktop Optionが提供する端末証明書)
![サードパーティ証明書を使用したログイン](./images/3rdparty_cert.webp)
3rd Party Cert.
(自社のサードパーティー証明書)
連携・ネットワーク
![Active Directory](./images/ad.webp)
統合Windows認証
![](./images/aa.webp)
リスクベース認証
![](./images/ip_mfa.webp)
グローバルIPアドレス
既存のMFAが使用不可能になったときには、Admin Generated OTPがご利用いただけます。Admin Generated OTPとは、管理者が、MFAを必要とするエンドユーザーのために一時的なトークンを生成できる機能のことです。エンドユーザーが既存のMFAでログインできなくなった時などに、この一時的なトークンをMFAの代わりに使用できます。OSに関係なく、ご利用いただけます。(このトークンは、Primaryトークンになるのではなく、一時的に使用可能なトークンです)
適切なMFAを選択するには
これまでの日本では「利用者」でなく「端末デバイス」を特定するために証明書が好まれる傾向でした。
最近では日本でもIT系企業や先進企業においては生体認証とOTPトークンが併用で使われるようになってきています。
適切な認証要素を選択するためには以下の手順を踏むことをおすすめします。
- 利用するアプリの認証方式を知る
- 利用する端末デバイスを知る
- 使い勝手を体感する
- 初期登録はだれが作業するか知る
- 置き忘れ・紛失時の対応に複数MFAを利用する
1. 利用するアプリの認証方式を知る
OneLoginにログインで利用するMFAは、他のシーン(例えばSAML認証)でも利用することになります。
PCやスマートフォンで利用するアプリケーションのサインインにもMFAを利用することになります。
例えば、Office 365を利用する場合、OneLoginにMFAでログインした後で、Office 365サービスサイトへのSSOします。これ以外にも、PC内で利用するWord, Excel, PowerPoint などのアプリケーション内でもサインインをおこないます。この時にもOneLogin + MFAでサインインをおこないます。
他にも、G Suite, slack, Salesforce などのアプリケーションサインインでもMFAを利用します。アプリケーションへのサインインでも該当するMFAが利用できるか確認してください。アプリケーションサインインMFAではOTPや証明書は利用できるが、生体認証が利用できるかはアプリごとに確認が必要です。
多くのアプリケーションが対応している、おすすめのMFA
![](./images/mfa_otp_onelogin.webp)
OTPトークン
![](./images/device_cert.webp)
証明書認証
2. 利用する端末デバイスを知る
OneLoginにログインに利用する端末は、何をお使いになりますか?
会社支給のWindows PCだけからMFAを利用する場合、在宅リモートワークでは自宅の私有mac PCもMFAを利用する場合があるか、外出時はスマートフォンでもMFAを利用することがあるか、まずはこれらを把握しましょう。
その選択肢は可能性を広くとるのではなく、例外を除く重要である中心的な端末デバイスのみを選定してください。
例えば、社給WIn PC、私有mac PC、社給iPhoneを利用する場合は、OTPトークンがオススメです。
生体認証であると社給WIn PC、私有mac PC、社給iPhoneの3つのデバイスをそれぞれ登録する必要があります。証明書の場合も同様で、社給WIn PC、私有mac PC、社給iPhoneのデバイスそれぞれに証明書配布とインポートを実現することができるか、ADでの証明書配布やMDMでの証明書配布の運用を実現する必要があります。OTPトークンは利用する端末デバイスとの接続がないので利用デバイスに依存しません。
利用デバイスに依存しない、おすすめのMFA
![](./images/mfa_otp_onelogin.webp)
OTPトークン
3. 使い勝手を体感する
OneLoginで利用できるMFAは、それぞれの使い勝手があります。
生体認証はPCやスマートフォンに内蔵されているデバイスが多いです。ワンタッチで利用できる使い勝手は抜群です。OTPデバイスは二つの種類に分類できます。スマートフォンアプリで動作するタイプと、物理デバイスのハードウエアのタイプです。
例えば、OneLogin ProtectのOTPソフトウエアはスマートフォンにインストールして持ち歩きます。利用する端末デバイスが複数でもどんなOSでも非接続である為に、確実に安定して利用できる安心感が高いです。物理デバイスのYubico YubiKeyでも使い勝手は同様で安定しています。PCやmacにはドライバーレスでUSB接続で確実にOTP利用できます。Yubico YubiKey 5 NFCはスマートフォンにも非接触NFCでタッチするだけでOTP利用できます。
使い勝手から選ぶ、おすすめのMFA
![](images/features_4.webp)
生体認証
![](./images/mfa_otp_onelogin.webp)
OTPトークン
4. 初期登録はだれが作業するか知る
OneLoginで利用するMFAを誰がキッティングするかも重要なポイントです。
生体認証は登録作業には、端末デバイスそのものとデバイス管理者と生体登録する本人の3者を確実に揃える必要があります。機種変更などの際にも遠隔で再登録することはできません。キッティング業務が重たいです。
これに比べOTPトークンは、ログオンする本人が初回ログオン時に初期設定することができます。OTPアプリをインストールしていたスマートフォン変更などによる再登録も、ログオンする本人が再登録おこないます。一方、証明書の初期登録と設定は、端末デバイスと登録する証明書、デバイス管理者の3者でおこないます。さらに証明書には有効期限があり、数年ごとに証明書登録と設定を実施する必要があるため、キッティング作業は一度限りとはなりません。これらの比較でもOTPトークンとYubiKey OTPも同様に優位性があります。
セットアップ難易度から選ぶ、おすすめのMFA
![](./images/mfa_otp_onelogin.webp)
OTPトークン
![](./images/yubikey-5-nfc_3.webp)
YubiKey
5. 置き忘れ・紛失時の対応に複数MFAを利用する
OneLoginで利用するMFAは、ひとつだけに限定して利用するものではなく、複数MFAを利用しましょう。
普段利用するPCは一番利用頻度が高いので、まずは最も使い勝手の良い生体認証(Windows Hello, Touch ID)を検討しましょう。この場合は言うまでも無く利用者と利用端末を特定することにもつながり安心です。
その上で、一部のアプリケーションMFAなどで生体認証が利用できない場合や、社給端末を持たない出張や海外旅行での急なアクセス要求に応えるためにも、スマートフォンのOTPトークンアプリを併用する選択が効果的です。
さらに万一のスマートフォンを自宅に置き忘れた場合やスマートフォン紛失時などに備えて、YubiKeyのOTPトークンをオフィスの鍵のかかる引き出しに忍ばせておく事も有効です。
1つのMFAではなく、複数MFAの利用がおすすめです
![](images/features_4.webp)
生体認証
![](./images/mfa_otp_onelogin.webp)
OTPトークン
![](./images/yubikey-5-nfc_3.webp)
YubiKey
ポリシーの割り当て
ユーザーポリシーの設定が完了したら、そのポリシーをユーザーに割り当てる必要があります。本ドキュメントではポリシーの割り当て方の一例として管理者権限を持つ1ユーザーにポリシーを割り当てます。
- 管理ページからUsers >> Usersに移動します。
- ユーザーの一覧からポリシーを適用するユーザーを探し、そのユーザーをクリックします。
- ページ左側のAuthenticationタブをクリックします。
- Use security policyで適用するユーザーポリシーを選択します。
- 選択ができたら、「Save User」をクリックします。
以上でポリシーの割り当ては完了です。
![ポリシーの割り当てをしている様子](./images/admin44.webp)
業務委託の方が自社のクラウドアプリケーションにアクセスするとき、従業員とは区別して追加の認証を行いたいと考えたことはありませんか?
そんな時に便利な機能が ロールベースポリシー(Role-based policy)です。ロールベースポリシーはアプリケーションへシングルサインオンするとき、特定のロールに所属するメンバーにだけアプリポリシーを適用することができる機能です。この機能を利用すると、例えば従業員である社内メンバーにはアプリポリシーを適用せず、業務委託や協業者などの社外メンバーには端末を識別するDevice Trustを有効にしたアプリポリシーを適用する、というような運用が可能になります。
ご興味のある方はぜひ一度お問い合わせください!
Smart Hooksを利用したログインフローのカスタマイズ
Smart Hooksとは、OneLoginへのログイン時に発生した特定のイベントに基づいて、ユーザーポリシーの変更や自動的なユーザーの移行などOneLoginのログインフローをカスタマイズすることができるOneLoginの拡張機能です。
Smart Hooksをご利用いただくことで、モバイル端末からのアクセス時には要求するMFAを変更したり、社外IPからのアクセスには証明書の認証を求める、などのカスタマイズが可能となります。
詳しくはこちらをご確認ください。