二要素認証
概要
二要素認証は追加のセキュリティ層を提供します。 ユーザーのセッションへのアクセスを防ぎます、たとえ誰かが彼らのパスワードを知っていても。 .
2つの異なる要素の組み合わせが、より高いレベルのセキュリティを達成するために使用されます。
- 彼らが知っている何か、 パスワード .
- 彼らが持っている何か、a 認証アプリがインストールされたデバイス - スマートフォンなど。 .
次の認証アプリのいずれかを使用して進めることができます。これらのアプリは、さまざまなプラットフォームで利用可能です。
ユーザーがリモートセッションにサインインするたびに、パスワードと携帯電話から入手可能な認証コードが必要です。設定が完了すると、認証アプリがログインを許可するための認証コードを表示します。デバイスがオフラインであっても機能します。
または 確認コードを受け取る方法を決定できます。 SMS この場合、無料アカウントを作成する必要があります。 Twilio .
その 2FAコードはTOTPで生成されます (時間ベースのワンタイムパスワード)であり、したがって単一の使用のためのものです。
したがって、すでに使用された2FAコードを再利用することはできません。これにより、ユーザーがコードを入力している間に観察することで2FAコードが盗まれ、その後使用されることを防ぎます。
要件
二要素認証はTSplus Remote Accessを必要とします モバイルウェブ または エンタープライズ エディション。
二要素認証は次のものをサポートしています:
- TSplus Remote Access ウェブポータル HTML5およびRemoteapp接続の両方用
- TSplus接続クライアント、バージョン15.30.3.15以降に生成されたクライアント用で、2FAサポートが明示的に有効になっています。ご覧ください ポータブルクライアントジェネレーターのサポート(2ファクタ認証用)
- 2FAはWindowsユーザーに関連しており、Web認証情報には関連していません。
この認証モードは、標準のMicrosoft Remote Desktopクライアント(mstsc.exe)を通じたログインをサポートしていません。
より安全なソリューションを提供するために、2FAが有効なユーザーのRDP接続は拒否されます。
前提条件として、TSplusサーバーとデバイスは時間通りでなければなりません。ご覧ください。 時間同期 そして 設定 設定情報の詳細については、セクションをご覧ください。
二要素認証アドオンライセンスの有効化
Two-Factor Authentication機能はAdminToolのAdd-Onタブにあります。
### 二要素認証を有効にする
次の手順に従って、TSplusサーバーまたはデプロイメントの二要素認証を有効にします。複数のサーバーを使用するように構成されているTSplusデプロイメントの場合、ユーザーのための単一のエントリーポイントとして公開されているTSplusサーバーまたはリバースプロキシの役割を持つサーバーでこの作業を行ってください。
- 二要素認証管理アプリケーションを開いてください。二要素認証のステータスとライセンスのステータスが表示されます。
デフォルトでは、2FAはTSplusゲートウェイおよびスタンドアロンアプリケーションサーバーに対して有効になっています。
TSplusアプリケーションサーバーのみで有効にするには、認証サーバーのURLを入力してください:
無効にするには:
ユーザーとグループを追加
二要素認証が有効になると、ユーザーを二要素認証に設定できます。
-
二要素認証管理アプリケーションから、[クリックしてください] ユーザーを管理する タブ。
-
次に、クリックしてください 追加 ユーザーおよび/またはユーザーグループを選択するための。 ユーザーまたはグループを選択 ボックスが開きます。
3) 必要に応じてユーザーとグループを追加し、その後クリックしてください
OK
ユーザーとグループがリストに追加され、二要素認証が有効になります。
ユーザー/グループを追加するためのコマンドは次のとおりです。
3種類の可能な引数:
ドメイン名のみ
TwoFactor.Admin.exe /addusers domainName1
- デフォルト値でユーザーを追加します(受信方法 = アプリ、メールおよび電話フィールドは入力されていません)。
ドメイン名と受信方法
TwoFactor.Admin.exe /addusers domainName1;SMS
- 希望する受信方法でユーザーを追加しますが、アクティブ化しようとはしません。
ドメイン名、受信方法、電話番号フィールド(空でも)、メールフィールド(空でも)
TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606;
username1@truc.net
ドメイン名2;メール;;
username2@truc.net
domainName3;SMS;+33606060607; domainName4
- HMIと同様の動作で、ユーザーを追加し、その後正しい情報で編集すると、ユーザーをアクティブにしようとします。
最後の例に示されているように、複数のユーザーを示すことができます(スペースで区切ります)。ユーザーの異なるフィールドはセミコロンで区切られます。
単一グループの場合:
TwoFactor.Admin.exe /addgroups group1 group2 group3
ユーザーの編集
同じタイルで、ユーザーを選択して「編集」ボタンをクリックすることで、ユーザーが検証コードを受け取る方法を編集できます。
ユーザーはデフォルトで認証アプリに確認コードを受け取ります。オプションを選択することで、SMSまたはEMAILで受け取ることを選ぶことができます。
SMSを選択し、フィールドにユーザーの電話番号を追加するか、EMAILを選択し、ユーザーのメールアドレスを追加しました。
ユーザーとグループを削除
ユーザーまたはグループを削除するには、ユーザーまたはグループを選択し、次にクリックします。 削除 確認メッセージが表示されます。
クリック
はい
ユーザーまたはグループはリストから削除され、二要素認証を使用して接続できなくなります。
ユーザーの設定をリセット
ユーザーの認証デバイスを紛失した場合、またはユーザーが秘密のQRコードを再表示する必要がある場合は、ユーザーの認証設定をリセットする必要があります。
-
二要素認証管理アプリケーションから、[クリックしてください] ユーザーを管理する タブ。
-
アクティブなユーザーを1人以上選択し、次にクリックしてください リセット 確認メッセージが表示されます。
3) クリック
はい
選択されたユーザーは、次回のログイン時に新しいQRコードが表示され、そのデバイスの認証アプリでスキャンする必要があります。また、ユーザーの電話番号を変更することもできるため、新しいデバイスで確認コードを受け取ることができます。
ユーザーを二要素認証に登録する
ユーザーが二要素認証の使用を有効にすると、次回TSplus Webポータルからの成功したログオン時にアクティベーションメッセージが表示されます。
必要な手順を完了するために、2つの選択肢があります:認証アプリを介してコードを生成するか、ユーザーにSMSでコードを受信させるかのいずれかです。
認証アプリケーションでコードを受け取る
ユーザーは、スマートフォンなどのポータブルデバイスに認証アプリをインストールする必要があります。
次の認証アプリのいずれかを使用して進めることができます。これらのアプリは、さまざまなプラットフォームで利用可能です。
各アプリのドキュメントを使用して、TSplusアカウントを追加する方法の詳細を確認してください。
SMSを設定する
ユーザーがSMSで確認コードを受け取るには、まずそれを有効にする必要があります。[クリックして] SMSを設定する タブ:
TSplusは、SMSで認証コードを送信するためにTwilioを活用しています。Twilioは、TSplusとは提携していないサードパーティのクラウドプラットフォームです。
- 無料アカウントを作成してください Twilio 以下の「Twilioで無料トライアルを開始する」ボタンをクリックしてください。
あなたの2)
Twilioアカウントダッシュボード
トライアル番号をアクティブにする必要があります。
- 次のステップは、トライアル版にのみ必要です。これにより、TwilioはSMSが送信される実際の電話番号を確認できます。この番号を以下に入力してください。 「電話番号」メニュー - 「確認済みの発信者ID」 タブ :
4) その後、アカウントのSID、認証トークンを入力できるようになります。
試用番号
電話番号としての
SMSを設定する
TSplusのタブ:
次に、保存をクリックします。次のメッセージが表示されます:
Twilioのサブスクリプションは、で管理できます。 Twilioのサブスクリプションを管理する セクション、の下部に SMSを設定する アカウントを管理し、サービスのステータスを確認するか、該当するボタンをクリックするだけでTwilioサポートセンターにアクセスできます。
メールを設定する
ユーザーがEMAILで確認コードを受け取るには、まずSMTPメールを設定する必要があります。
二要素認証を使用してログイン
ユーザーが認証アプリでTSplusアカウントを設定すると、パスワードと認証アプリから提供されたコードを使用して、SMSまたはメールで接続できるようになります。
TSplus Remote Access Webポータルから:
TSplusが生成したクライアントから:
### 時間同期
TSplus アプリケーションサーバーとクライアントデバイスは、同じ時間を共有する必要があります。これは、サーバーの時間と日付がタイムサーバーと同期されている必要があることを意味します。クライアントデバイスも、設定されているタイムゾーンに関係なく、時間の同期が必要です。
デバイスの日時が同期されていない場合、またはサーバーの日時が同期されていない場合、認証リクエストは拒否される可能性があります。
デバイスとサーバー間の情報の検証はUTC時間に関連しています。 設定 セクション、ディスクリペンシーパラメータは、コードの有効期間を30秒の間隔で管理するために使用されます。
認証の検証または有効な認証の例:
- サーバーはタイムサーバーと同期しており、タイムゾーンはUTC + 2で、午後2時30分です。
- デバイスはタイムサーバーと同期しており、タイムゾーンはUTC + 1で、午後1時30分です。
- 不一致パラメータは60に設定されており、すなわちコードの有効期限は30分です。
- UTC時間を参照すると、デバイスの時間とサーバーの時間は同一です。
認証の有効または無効の例:
- サーバーはタイムサーバーと同期しており、タイムゾーンはUTC + 2で、午後2時30分です。
- デバイスはタイムサーバーと同期しておらず、タイムゾーンはUTC-1で、時間は手動で午後1時30分に設定されています。
- 不一致パラメータは60に設定されており、すなわちコードの有効期限は30分です。
- サーバー時間はUTC時間の午前12時30分を指します。
- デバイスによって通知された時間は、UTC時間で午後2時30分です。
- 差は120分であるため、検証コードは拒否されます。
設定
設定タブでは、あなたが ユーザーをホワイトリストに登録し、RDPクライアントを使用して接続できるようにし、二要素認証コードを入力する必要をなくします。
「ユーザーを追加するには「追加」ボタンをクリックし、ユーザーを選択して「削除」ボタンをクリックすることでユーザーを削除します。」
詳細タブでは、二要素認証の詳細設定を構成できます。
不一致
不一致値を変更することができ、これにより検証コードの検証時間を設定できます。 不一致が3の場合、同じ検証コードは元の30秒の有効期間の前後90秒間有効です。 デフォルトは480で、これは480 x 30秒= 4時間を意味します。
発行者
二要素認証サービスの名前を示す文字列。発行者はクライアントのモバイルアプリに表示され、生成された検証コードに関連付けられたサービスを特定します。デフォルトでは、サーバーの名前にTSplusが含まれています。
初回セッション後の有効性
ユーザーが以前の二要素認証コードを再検証することなくセッションを開くことができる期間。この設定により、ユーザーはWebアプリケーションポータルからアプリケーションを連続して開くことができます。デフォルトは480分です。
初回セッション前の有効性
ユーザーがWebポータルまたはモバイルアプリから二要素認証コードを検証した後にセッションを開くことができる期間(秒単位)。デフォルトは3600秒です。
数字
ユーザーに表示する桁数。この設定は認証アプリによってサポートされていない場合があります。この数は4以上12以下でなければなりません。デフォルトは6です。
SMS認証コードメッセージ
ユーザーにSMSで受信するように設定されている場合、確認コードを要求するメッセージが送信されます。このメッセージには、実際の確認コードに置き換えられる%CODE%プレースホルダーが含まれている必要があります。デフォルトは次のとおりです: あなたの%ISSUER%確認コードは: %CODE%です。
SMSセキュリティ期間
ユーザーがSMSを介して認証コードを要求したときに期間が始まります。この期間中、ユーザーは要求されたSMSの数が閾値(時間単位、デフォルトは24時間)に達するまで、新しい認証コードをSMSで要求することができます。
SMSセキュリティ閾値
しきい値は、各ユーザーが指定された期間中に要求できるSMS認証コードの最大数を定義します(デフォルトは6です)。
