Upload
ymita
View
4.088
Download
2
Embed Size (px)
Citation preview
© 2014 VMware Inc. All rights reserved.
VMware Horizon 6 と RSA SecurID の連携二要素認証によるセキュリティ強化
「パスワード」を知っているということだけでは十分ではありません 異なる性質を持つ要素を組み合わせで確認することで、より確実性の高い認証になります
二要素認証 (多要素認証)による認証強化
Something you know: PIN, パスワード, 秘密の質問等
Something you have: トークン、スマートカード等
Something you are: バイオメトリクス (指紋、静脈認証等)
ユーザ名:
パスコード:
ログオン
**** ******
yamada
1234
RSA SecurIDは二要素認証です・PIN(暗証番号)・トークンコード
2
RSA Authentication Manager• VMware ESXi上で稼働するOpen
Virtualization Formatの仮想アプライアンス
RSA SecurID Appliance• RSA Authentication Managerを搭載した物理アプライアンス
システムは、3つの要素(認証サーバー、エージェント、トークン)で構成されています
RSA SecurIDシステム
RSA Authentication Agent ソフトウェア• OSやWebサーバー上にインストールして、SecurID認証を有効に
SecurID Ready パートナー製品• SecurID連携が確認済みの350種以上の連携製品
RSA Authentication Agent API• カスタムアプリケーションに
SecurID認証を実装するSDK
(* RADIUS対応も可)
ハードウェア・トークン• ライフタイム・ワランティも付帯した個耐久性の高い定番トークン
ソフトウェア・トークン• 各種スマートデバイスやPC/Mac等にインストールして利用する手軽なトークン
オン・デマンド・トークン• EメールまたはSMSでその都度受信するトークン
トークン 認証エージェント 認証サーバー
VMware View およびVMware Workspace
Portal はSecurID Ready です
3
VMware View と RSA SecurID の連携
4
Connection Server
RSA SecurID 認証サーバ
View Client
仮想デスクトップ
Connection Server と通信可能な認証サーバーを構築。仮想アプライアンス版は簡単に展開が可能。
RSA SecurID 認証を要求するように設定
• ワンタイムパスワードを使用した認証で仮想デスクトップのセキュリティを強化
• 「RSA SecurID トークンによって生成される認証コード」と「ユーザの記憶(PIN)」を要求することで二要素認証を提供
トークン
仮想デスクトップへのアクセス経路に応じた認証要求
5
外部NW経由(自宅や社外からのアクセス等)でアクセスするユーザのみ二要素認証を要求。
社内からのアクセスはドメインパスワードのみの認証。
• RSA SecurID を使用するように Connection Server を設定• Connection Server を分離することで、ユーザのアクセス経路に応じて認証方式を変えることが可能
二要素認証を使用した仮想デスクトップのログイン
6
①PIN + 認証コード ②ドメインパスワード
③ログイン完了
1分ごとに認証コードを生成
7
二要素認証を使用した仮想デスクトップのログイン(iPad)
1分ごとに認証コードを生成
①PIN + 認証コード ②ドメインパスワード
③ログイン完了
VMware Workspace Portal と RSA SecurID の連携
8
• ワンタイムパスワードによる認証で Workspace ポータルのセキュリティを強化
• アクセス元のネットワーク範囲によって認証方法を変更することが可能
社外からのアクセスはRSA SecurID で認証
社内からのアクセスはドメインパスワードで認証
二要素認証を使用した Workspace ポータルへのログイン
9
1分ごとに認証コードを生成
①PIN + 認証コード
②ログイン完了
RSA Authentication Managerの設定
RSA Security Console– ユーザーやトークンの管理等に使用する管理コンソール
– https://hostnameFQDN/sc
RSA Operations Console– 初期セットアップ、システムメンテナンスに使用する管理コンソール
– https://hostnameFQDN/oc
1. サーバーのセットアッ
プ
• 物理アプライアンスと仮想アプライアンスでの提供
• ライセンスファイルおよびネットワーク情報が必要
2. トークンレコードインポート
• ハードウェア、ソフトウェアトークン共、トークンシードファイル(XML)が必要
3. 認証エージェントの登
録
• 認証要求の送信元を登録
• (登録のないホストからの認証要求はドロップされる)
4. ユーザーの登録
• 認証サーバーに手動登録、もしくは、AD連携のセットアップ(Operations Console)
5. ユーザーへのトークンの割り当て
• ユーザーとトークンシリアル番号の紐付登録
RSA Security ConsoleQuick Setup
RSA Operations Console
← 一旦システムが組みあがった後の運用管理はほとんどこちらで行います。
10
[Access]-[Authentication Agents]-[Manage Existing]/[Add New] 認証要求の送信元の登録が必要です
3. 認証エージェントの登録
MEMO
View Connection Serverのホスト名、IPアドレスを登録します。
その他の欄はデフォルトでOK。 DNS名正逆一致してひけるよう、DNSまたはhostsを記載してください。
11
[Access]-[Authentication Agents]-[Generation Configuration File] 認証サーバーの情報を認証エージェントに提供するために配布します
3. 認証エージェントの管理
MEMO
AM_Config.zipファイルを解凍し、“sdconf.rec”ファイルを取り出します。このファイルは、後で認証エージェント(View
Connection Server等)にアップロードします。 サーバーの編成が変わらない限り(再インストール、IP変更等がない限り)、同じファイルを使用可能です。
sdconf.recの取出し
12
[Identity]-[Users]-[Manage Existing]/[Add New] 認証サーバーのデータベースを利用して手動で登録するか、または、ADと連携します
4. ユーザーの登録、管理
MEMO
Active Directoryのユーザー情報と連携するには、RSA Operations Consoleにて、Identity Source設定が必要です。
このイメージでは、“AD”という名前で連携定義が作成されているため、左ペインで“AD”を選択しています。
13
[Identity]-[Users]-[Manage Existing] (ユーザーID)▼-[SecurID Token]の下の[Assign More]
5. ユーザーへのトークンの割り当て
MEMO
ユーザーIDの右の▼から表示される[Assign
Token]ページにて、トークンのシリアルNoを選択して割り当てます。
右下は割り当て状況の表示画面です。
14
[Reporting]-[Real-time Activity Monitors]-[Authentication Activity Monitor]
認証ログをリアルタイムで表示するモニタです
+α. 認証ログ確認
15
View Connection Server の設定
16
• RSA SecurID の二要素認証を使用するように Connection Server を設定するのみ
Workspace Portal の設定
17
• Connector の仮想アプライアンスで SecurID を有効化• Connector の仮想アプライアンスの IP アドレスを指定して保存
Workspace Portal の設定
18
• RSA SecurID の二要素認証を要求するアクセス元のネットワーク範囲を作成
Workspace Portal の設定
19
Configurator アプライアンスの管理画面から「認証方法」を設定。認証方法の一覧から「SecurID」を選択して、必要に応じて認証スコアを変更。
「IDプロバイダ」を選択し、認証方法とネットワーク範囲を指定。認証方法として「SecurID」を選択し、前の手順で作成したネットワーク範囲を選択。
Workspace Portal の設定
20
アクセスポリシーを設定
ネットワーク範囲と最低認証スコアを設定。この例では、「Internal」というネットワーク範囲以外からのアクセスについては最低認証スコア3の認証(=RSA SecurID)を要求する。