このセクションでは、Deepnet DualShield 認証プラットフォーム 5.6 以降を Parallels RAS と統合する方法を説明します。
このセクションでは、以下の内容を説明します。
DualShield 認証プラットフォームについては、次のドキュメントも参照してください。
DualShield 認証プラットフォーム - インストールガイド
DualShield 認証プラットフォーム - クイックスタートガイド
DualShield 認証プラットフォーム - 管理ガイド
以下は Parallels RAS がサポートするトークンの一覧です。
MobileID(FlashID は MobileID と統合されません)
QuickID
GridID
SafeID
SecureID(RSA)
DigiPass(Vasco)
SafeID などのハードウェアトークンを使用する場合は、提供された XML ファイルを使用して、最初にトークン情報をインポートする必要があります。[インポート] をクリックして、提供された XML ファイルを参照します。XML ファイルがインポートされたら、各ハードウェアトークンをユーザーに割り当てる必要があります。
Deepnet DualShield の構成を実行するには、次の操作を実行します。
次の要素を指定します。
サーバー: Deepnet サーバーのホスト名です。
SSL を有効にする: Deepnet サーバーへの接続時に SSL を使用するかどうかを指定します。
ポート: Deepnet サーバーへの接続に使用されるポートです。
Agent: 登録時に使用される Agent の名前です。
[接続の確認] ボタンをクリックし、認証サーバーにアクセスできることをテストして、RAS Console が DualShield Agent として登録されていることを確認します。”DeepNet サーバーが有効ではありません”というメッセージが表示された場合、以下のような原因が考えられます。
指定したサーバーの情報が正しくない。
DualShield エージェントとして Parallels コンポーネントの自動登録を許可する必要がある。
DualShield エージェントとして Parallels コンポーネントの自動登録を許可する必要がある場合は、次の操作を実行します。
DualShield 管理コンソールに戻り、次のように [確認証明] メニューから [Agent] を選択します。
[自動登録] を選択します。
[使用可能] オプションを選択し、日付範囲を設定します。
Agent の自動登録を設定したら、RAS Console に戻って [はい] を選択します。Dual Shield Agent が正常に登録されたことを示すメッセージが表示されます。
すべての RAS Connection Broker を Deepnet DualShield サーバーに登録する必要があります。セカンダリ Connection Broker を使用している場合は、開いているすべてのウィンドウを閉じる必要があります。すべてのウィンドウを閉じると、RAS Console で [適用] を押せるようになります。これにより、すべての Agent に、DualShield Agent として自己登録するよう通知されます。
RAS Console に戻り、[次へ] をクリックします。
次の要素を指定します。
アプリケーション:
既定のドメイン: ユーザー、テーマのプロパティ、または接続設定でドメインが指定されていない場合に使用されるドメインです。
[モード] ドロップダウンリストで、ユーザーをどのような方法で認証するかを選択します。
[すべてのユーザーに必須です] を選択すると、システムを使用するすべてのユーザーが二要素認証を使用してログインする必要があります。
[ドメイン認証されたユーザーのトークンを作成] を選択すると、ドメイン認証されたユーザーのソフトウェアトークンを Parallels RAS が自動的に作成することができます。ドロップダウンリストからトークンのタイプを選択します。このオプションは、QuickID や MobileID などのソフトウェアトークンでのみ機能します。
[DualShield が付いているアカウントのみ利用できます] を選択すると、DualShield アカウントを持たないユーザーは二要素認証を使用してログインしなくてもシステムを使用できます。
[チャンネルの許可] セクションで、ユーザーへのワンタイムパスワード送信に使用するチャンネルを選択します。
[完了] をクリックします。
「DualShield 認証プラットフォーム - インストールガイド」で指定されているすべての手順に従うと、インターネットブラウザー(http://LOCALHOST:8073)で自動的に URP が開き、DualShield の管理コンソールにログインできます。
デフォルトの資格情報(ユーザー: sa、パスワード: sa)を使用して、DualShield の管理コンソールにログインします。デフォルトのパスワードを変更するように要求されます。
アプリケーションへのアクセスが許可されるユーザーのドメインがレルムに含まれているため、アプリケーションはレルムへの接続を提供するように設定されます。
レルムは、複数のドメインユーザーが同じアプリケーションにアクセスできるように設定されます。
Parallels RAS が通信するアプリケーションを作成する必要があります。[確認証明] > [アプリケーションウィザード] をクリックして、以下に表示される情報を入力し、[次へ] を押します。
以下に表示される LDAP サーバーの設定を指定して、[完了] を押します。
アプリケーションの構成後に、DualShield サーバーとエンドユーザーが通信するために使用する電子メールゲートウェイまたは SMS ゲートウェイを構成する必要があります。このドキュメントでは、電子メールゲートウェイを使用します。[構成] メニューの [ゲートウェイ] を選択します。
電子メールゲートウェイを構成します。
[編集] をクリックして、SMTP サーバー情報を入力します。
Parallels Client
DualShield を有効にすると、ユーザーに二要素認証が適用されます。QuickID などのソフトウェアトークンを使用すると、管理者はユーザーごとにトークンを作成する必要はありません。ユーザーが最初にログインを試みたときに、RAS Connection Broker がトークンを自動で作成します。
ユーザーが Parallels Client から RAS 接続へのアクセスを試みると、まず Windows ユーザー名とパスワードの入力を求められます。資格情報が受け付けられると、RAS Connection Broker は DualShield サーバーと通信を行い、そのユーザーに固有のトークンを作成します。
MobileID または QuickID を使用する場合は、該当のソフトウェアをどこでダウンロードできるかに関するメールがユーザーに送信されます。
QuickID トークンを使用する場合、アプリケーションは、メールまたは SMS で送信された一時パスワードを要求します。
OTP を求められた場合は、ワンタイムパスワードを入力して Parallels Application Server XG ゲートウェイにログインします。