Google Authenticator の使用

Was this helpful?

Google Authenticator の使用

このセクションでは、Google Authenticator を構成する方法を説明します。

Google Authenticator を構成するには、以下の手順を実行します。

[サイト設定] > [接続] > [多要素認証] に移動します。
構成する Google Authenticator プロバイダーの名前をダブルクリックします。
[編集] ボタンをクリックします。
次の要素を指定します。
- 名前: プロバイダーの名前です。
- 説明: プロバイダーの説明です。
- [テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。
- 表示名: この場合のデフォルト名は「Google Authenticator」です。その名前は、Parallels Client の登録ダイアログの”Google Authenticator アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。技術面からすると、どの認証アプリでも使用できますが（つまり、名前を変更することも可能ですが）、この資料の執筆時点では Google Authenticator アプリだけが正式にサポートされています。
- ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
- 必要に応じて、デフォルトの TOTP 許容範囲を変更します。
- [登録] セクションでは、必要に応じて Google Authenticator のユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり（ [許可] オプション）、指定した日時までに限り登録できるようにしたり（[次の日時まで許可]）、登録を完全に無効にしたり（[許可しない] オプション）できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
- 未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。
  - なし（もっとも安全）: 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。
  - 登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。
  - 常に: 未登録のユーザーには必ずエラーが表示されます。
- [ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが Google 認証を使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります（詳細については、下記の**「Parallels Client での Google 認証の使用」**を参照）。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。
- 制限: を参照してください。
完了したら、[保存] をクリックします。

Parallels Client での Google Authenticator の使用

重要: Google Authenticator やその他の TOTP プロバイダーを使用するには、ユーザーのデバイスと RAS Connection Broker サーバーの間で時間を同期する必要があります。そうしないと、Google 認証は失敗します。

Google Authenticator は、サポートされているいずれのプラットフォームで実行している Parallels Client でも利用できます（モバイル、デスクトップ、Web Client でサポートされています）。

Google 認証を使用するには、ユーザーが認証アプリを自分の iOS デバイスまたは Android デバイスにインストールしなければなりません。Google Play または App Store にアクセスして、アプリをインストールしてください。認証アプリをインストールしたら、二要素認証を使用して Parallels RAS に接続する準備が整ったことになります。

Parallels RAS に接続するには、以下の手順を実行します。

Parallels Client またはユーザーポータルを開き、自分の資格情報を使用してログインします。
多要素認証ダイアログが開き、バーコード（QR コード）と秘密鍵が表示されます。
モバイルデバイスで Google 認証アプリを開きます。
- 初めて使用する場合は、[開始] をタップし、[バーコードをスキャンする] をタップします。
- Google 認証の別のアカウントを持っている場合は、プラス記号のアイコンをタップし、[バーコードをスキャンする] を選択します。
Parallels Client のログインダイアログに表示されているバーコードをスキャンします。
何かの理由でうまくスキャンできない場合は、アプリに戻り、[秘密鍵を入力する] を選択し、アカウント名と Parallels Client のログインダイアログに表示されている秘密鍵を入力します。
アプリで [アカウントを追加する] をタップすると、アカウントが作成され、ワンタイムパスワードが表示されます。
Parallels Client に戻り、[次へ] をクリックし、[OTP] フィールドにワンタイムパスワードを入力します。

その後のログインでは、資格情報（[パスワードの保存] オプションが選択されている場合は不要）と、Google 認証アプリで取得したワンタイムパスワードを入力するだけで十分です（アプリによって新しいパスワードが生成されます）。RAS 管理者がユーザーをリセットすると（このセクションの最初にある [ユーザーをリセット] フィールドの説明を参照）、ユーザーが上記の登録手順を繰り返さなければならなくなります。

PreviousRADIUS の使用 NextMFA ルールの構成

Was this helpful?

このセクションでは、Google Authenticator を構成する方法を説明します。

Google Authenticator を構成するには、以下の手順を実行します。

[サイト設定] > [接続] > [多要素認証] に移動します。
構成する Google Authenticator プロバイダーの名前をダブルクリックします。
[編集] ボタンをクリックします。
次の要素を指定します。
- 名前: プロバイダーの名前です。
- 説明: プロバイダーの説明です。
- [テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。
- 表示名: この場合のデフォルト名は「Google Authenticator」です。その名前は、Parallels Client の登録ダイアログの”Google Authenticator アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、“iOS または Android 端末に <new-name> アプリをインストールしてください”のように、文中に指定した名前が表示されます。技術面からすると、どの認証アプリでも使用できますが（つまり、名前を変更することも可能ですが）、この資料の執筆時点では Google Authenticator アプリだけが正式にサポートされています。
- ユーザープロンプト: OTP ダイアログが表示されたときにユーザーに表示されるテキストを指定します。
- 必要に応じて、デフォルトの TOTP 許容範囲を変更します。
- [登録] セクションでは、必要に応じて Google Authenticator のユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり（ [許可] オプション）、指定した日時までに限り登録できるようにしたり（[次の日時まで許可]）、登録を完全に無効にしたり（[許可しない] オプション）できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
- 未登録ユーザーに情報を表示: 未登録のユーザーが間違った資格情報を入力したときに、ユーザー名またはパスワードが正しくありませんというエラーを表示するかどうかを選択します。
  - なし（もっとも安全）: 未登録のユーザーには、エラーではなく TOTP プロンプトが表示されます。
  - 登録が許可された場合: ユーザー登録が許可されている場合、未登録のユーザーにはエラーが表示されます。そうでない場合は、TOTP プロンプトが表示されます。
  - 常に: 未登録のユーザーには必ずエラーが表示されます。
- [ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが Google 認証を使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります（詳細については、下記の**「Parallels Client での Google 認証の使用」**を参照）。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。
- 制限: を参照してください。
完了したら、[保存] をクリックします。

Parallels Client での Google Authenticator の使用

Parallels RAS に接続するには、以下の手順を実行します。

Parallels Client またはユーザーポータルを開き、自分の資格情報を使用してログインします。
多要素認証ダイアログが開き、バーコード（QR コード）と秘密鍵が表示されます。
モバイルデバイスで Google 認証アプリを開きます。
- 初めて使用する場合は、[開始] をタップし、[バーコードをスキャンする] をタップします。
- Google 認証の別のアカウントを持っている場合は、プラス記号のアイコンをタップし、[バーコードをスキャンする] を選択します。
Parallels Client のログインダイアログに表示されているバーコードをスキャンします。
何かの理由でうまくスキャンできない場合は、アプリに戻り、[秘密鍵を入力する] を選択し、アカウント名と Parallels Client のログインダイアログに表示されている秘密鍵を入力します。
アプリで [アカウントを追加する] をタップすると、アカウントが作成され、ワンタイムパスワードが表示されます。
Parallels Client に戻り、[次へ] をクリックし、[OTP] フィールドにワンタイムパスワードを入力します。