TOTP の構成
TOTP 設定を構成するには、以下の手順を実行します。
次の要素を指定します。
表示名: この場合のデフォルト名は TOTP です。その名前は、Parallels Client の登録ダイアログの”TOTP アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。
ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
ユーザーの登録セクションでは、必要に応じてユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり( [許可] オプション)、指定した日時までに限り登録できるようにしたり([次の日時まで許可])、登録を完全に無効にしたり([許可しない] オプション)できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。
なし(もっとも安全): 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。
登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。
常に: 未登録のユーザーには必ずエラーが表示されます。
[認証] セクションでは、TOTP の許容範囲を構成することができます。時間ベースのワンタイムパスワード(TOTP)を使用する場合、RAS Connection Broker とクライアントデバイス間で時間を同期させる必要があります。同期は、グローバル NTP サーバー(time.google.com など)に対して実行される必要があります。[TOTP 許容範囲] ドロップダウンリストを使用して、認証の実行中に許容すべき時間差を選択できます。ドロップダウンリストを展開し、事前に定義された値(秒数)のいずれかを選択します。時間差の許容範囲の変更は、セキュリティトークンの有効時間の拡大を意味し、不正に利用できる時間枠が広くなりセキュリティ上の影響があるため、注意して行う必要があります。 注: TOTP プロバイダーを使用する場合、Connection Broker とクライアントデバイスの両方の時間をグローバル NTP サーバー(time.google.com など)と同期させる必要があります。TOTP の許容範囲を追加すると、ワンタイムパスワードの有効性が拡大し、セキュリティに影響を及ぼす可能性があります。
[ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが TOTP プロバイダーを使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります(Google Authenticator でこれを実行する方法については、Parallels Client での Google Authenticator の使用を参照してください。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。
[完了] をクリックします。
また、TOTP 有効時間は、デフォルトの 30 秒 + 過去の x 秒 + 未来の x 秒として計算されることに注意してください。
Last updated