ここでは、TOTP MFA プロバイダーを Parallels RAS に統合する方法について説明します。
TOTP 設定を構成するには、以下の手順を実行します。
次の要素を指定します。
表示名: この場合のデフォルト名は TOTP です。その名前は、Parallels Client の登録ダイアログの”TOTP アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。
ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
ユーザーの登録セクションでは、必要に応じてユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり( [許可] オプション)、指定した日時までに限り登録できるようにしたり([次の日時まで許可])、登録を完全に無効にしたり([許可しない] オプション)できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。
なし(もっとも安全): 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。
登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。
常に: 未登録のユーザーには必ずエラーが表示されます。
[認証] セクションでは、TOTP の許容範囲を構成することができます。時間ベースのワンタイムパスワード(TOTP)を使用する場合、RAS Connection Broker とクライアントデバイス間で時間を同期させる必要があります。同期は、グローバル NTP サーバー(time.google.com など)に対して実行される必要があります。[TOTP 許容範囲] ドロップダウンリストを使用して、認証の実行中に許容すべき時間差を選択できます。ドロップダウンリストを展開し、事前に定義された値(秒数)のいずれかを選択します。時間差の許容範囲の変更は、セキュリティトークンの有効時間の拡大を意味し、不正に利用できる時間枠が広くなりセキュリティ上の影響があるため、注意して行う必要があります。 注: TOTP プロバイダーを使用する場合、Connection Broker とクライアントデバイスの両方の時間をグローバル NTP サーバー(time.google.com など)と同期させる必要があります。TOTP の許容範囲を追加すると、ワンタイムパスワードの有効性が拡大し、セキュリティに影響を及ぼす可能性があります。
[ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが TOTP プロバイダーを使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります(Google Authenticator でこれを実行する方法については、Parallels Client での Google Authenticator の使用を参照してください。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。
[完了] をクリックします。
また、TOTP 有効時間は、デフォルトの 30 秒 + 過去の x 秒 + 未来の x 秒として計算されることに注意してください。
Google Authenticator を構成するには、以下の手順を実行します。
次の要素を指定します。
表示名: この場合のデフォルト名は Google Authenticator です。その名前は、Parallels Client の登録ダイアログの”Google Authenticator アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。技術面からすると、どの認証アプリでも使用できますが(つまり、名前を変更することも可能ですが)、この資料の執筆時点では Google Authenticator アプリだけが正式にサポートされています。
ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
ユーザーの登録セクションでは、必要に応じて Google 認証経由のユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり( [許可] オプション)、指定した日時までに限り登録できるようにしたり([次の日時まで許可])、登録を完全に無効にしたり([許可しない] オプション)できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。
なし(もっとも安全): 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。
登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。
常に: 未登録のユーザーには必ずエラーが表示されます。
[認証] セクションでは、TOTP の許容範囲を構成することができます。時間ベースのワンタイムパスワード(TOTP)を使用する場合、RAS Connection Broker とクライアントデバイス間で時間を同期させる必要があります。同期は、グローバル NTP サーバー(time.google.com など)に対して実行される必要があります。[TOTP 許容範囲] ドロップダウンリストを使用して、認証の実行中に許容すべき時間差を選択できます。ドロップダウンリストを展開し、事前に定義された値(秒数)のいずれかを選択します。時間差の許容範囲の変更は、セキュリティトークンの有効時間の拡大を意味し、不正に利用できる時間枠が広くなりセキュリティ上の影響があるため、注意して行う必要があります。
注: 時間ベースのワンタイムパスワード(TOTP)プロバイダーを使用する場合、Connection Broker とクライアントデバイスの両方の時間をグローバル NTP サーバー(time.google.com など)と同期させる必要があります。TOTP の許容範囲を追加すると、ワンタイムパスワードの有効性が拡大し、セキュリティに影響を及ぼす可能性があります。
[ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが Google 認証を使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります(詳細については、下記の**「Parallels Client での Google 認証の使用」**を参照)。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。
[完了] をクリックします。
また、TOTP 有効時間は、デフォルトの 30 秒 + 過去の x 秒 + 未来の x 秒として計算されることに注意してください。
Parallels Client での Google Authenticator の使用
重要: Google Authenticator やその他の TOTP プロバイダーを使用するには、ユーザーのデバイスと RAS Connection Broker サーバーの間で時間を同期する必要があります。そうしないと、Google 認証は失敗します。
Google Authenticator は、サポートされているいずれのプラットフォームで実行している Parallels Client でも利用できます(モバイル、デスクトップ、ウェブの各クライアントでサポートされています)。
Google 認証を使用するには、ユーザーが認証アプリを自分の iOS デバイスまたは Android デバイスにインストールしなければなりません。Google Play または App Store にアクセスして、アプリをインストールしてください。認証アプリをインストールしたら、二要素認証を使用して Parallels RAS に接続する準備が整ったことになります。
Parallels RAS に接続するには、以下の手順を実行します。
Parallels Client または Web Client を開き、自分の資格情報を使用してログインします。
多要素認証ダイアログが開き、バーコード(QR コード)と秘密鍵が表示されます。
モバイルデバイスで Google 認証アプリを開きます。
初めて使用する場合は、[開始] をタップし、[バーコードをスキャンする] をタップします。
Google 認証の別のアカウントを持っている場合は、プラス記号のアイコンをタップし、[バーコードをスキャンする] を選択します。
Parallels Client のログインダイアログに表示されているバーコードをスキャンします。
何かの理由でうまくスキャンできない場合は、アプリに戻り、[秘密鍵を入力する] を選択し、アカウント名と Parallels Client のログインダイアログに表示されている秘密鍵を入力します。
アプリで [アカウントを追加する] をタップすると、アカウントが作成され、ワンタイムパスワードが表示されます。
Parallels Client に戻り、[次へ] をクリックし、[OTP] フィールドにワンタイムパスワードを入力します。
その後のログインでは、資格情報([パスワードの保存] オプションが選択されている場合は不要)と、Google 認証アプリで取得したワンタイムパスワードを入力するだけで十分です(アプリによって新しいパスワードが生成されます)。RAS 管理者がユーザーをリセットすると(このセクションの最初にある [ユーザーをリセット] フィールドの説明を参照)、ユーザーが上記の登録手順を繰り返さなければならなくなります。
「TOTP を構成する」を参照してください。