2段階認証アプリGoogle Authenticatorのインストール設定&Webでの認証例

2要素認証用のアプリ「Google Authenticator」はスマフォなどのモバイル端末に対応したワンタイムパスワードのソフトウエアトークンです。ワンタイムパスワードのトークンとしてはもっともスタンダードな製品で、無償で利用することが可能です。

「Google Authenticator 」の特徴は

  • iOS/Androidに対応(PCには非対応)
  • オープンソース

です。

Google Authenticatorは、時間ベースのワンタイムパスワード(TOTP) およびカウンターベースのワンタイムパスワード(HOTP)の両方の方式に対応しています

時間ベースのワンタイムパスワード(TOTP) のサービスとしては

  • Amazon Web Services(AWS Multi-Factor Authentication)
  • Dropbox
  • Evernote
  • Facebook
  • GitHub
  • Googleアカウント
  • Google Apps for Work
  • IIJ Omnibusサービス
  • IIJセキュアMXサービス
  • Microsoftアカウント
  • Slack
  • 仮想通貨のサイト
  • 銀行/金融機関のサイト
  • Powered BLUE 870/OTP  (TOTPモード及びHOTPに対応)

などです。Google Authenticatorはこれらのサービスでのワンタイムパスワードの認証に利用できます。

 

設定のフローは

1)Google Authenticatorのインストール設定

2)Webサーバー側のQRコードの読み取り

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE OTP  でパスワード認証機能付属のWebサイトを自社運用する際に、Google Authenticator を利用した2要素認証でアクセスする場合をサンプルケースとして説明します。

Powered BLUE OTPには事前に、ワンタイムパスワードのご利用ユーザーのアカウントを作成しておく必要があります

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/08/otp-key-1.png

 

3) Webサーバーへのアクセス

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE OTP は2要素認証のWebサイトを自社で簡単に構築・運用出来る仮想アプライアンスサーバーです。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/08/otp-key-2.png

 

Google AuthenticatorをiOSへインストール

App Store からGoogle Authenticatorを選択してインストール

設定開始

コードの登録

  • バーコードのスキャン(QRコードの読み取り)
  • 手動での入力

から選択出来ます

QRコードの読み取りの場合

ターゲットのPowered BLUE 870/OTP 上の Webサイトへアクセス

  • 例 test-opt.mubit.com
  • アカウント suzuki

ターゲットのWebサイトのQRコードをカメラで読み取ります

QRコードはユーザー毎に異なります

 

もしくは手動でのコードの入力

Powered BLUE 870/OTP 上の Webサイトへアクセス

  • 例 test-opt.mubit.com
  • アカウント suzuki

共有鍵のキーコードを手動で入力します

例 LIXD ……  FZDB

以上で登録の完了

 

ワンタイムパスワードの表示

  • 例 test-opt.mubit.com
  • アカウント suzuki

ワンタイムパスワードは、一定時間(例 30秒)毎に変わります

右側の  をクリックするとワンタイムパスワードの値がクリップボードにコピーされます

入力の際に、値をペーストします

 

Webサイトへアクセス / 2要素認証

Powered BLUE OTP 上の Webサイト

  • 例 test-opt.mubit.com へアクセス

2要素認証の「アカウント」と「ワンタイムパスワード」と「ユーザーパスワード」を入力

認証成功

Webサイトへの2要素認証が通った場合、Webページが表示されます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE OTP のターゲットサイトのWebページは、適宜変更できます

  • 任意のWeb作成ツールで作成のWebページ
  • WordPress対応のWebページ
  • 指定のWebページへのリダイレクト
  • リバースプロキシで指定Webサイトへのリダイレクト

などに対応しています

 

Google Authenticatorでの注意点

Google Authenticatorでは、安全の為に登録したコード(共有鍵)のエクスポートが出来ません。

例えばスマフォなどを買い換えた場合や故障の場合には、旧機種から新機種への共有鍵の移し替えが出来ません。これを防ぐ方法としては以下の方法でのバックアップなどを行ないます。

共有鍵のバックアップ方法

  • 登録時にQRコードのスナップショットで保存しておく
  • 登録時に手動で入力するコードをスナップショットで保存しておく

ことにより、機器の買い替えなどの場合に新機種に「以前に発行した共有鍵」を登録することが出来ます。

 

時間を合わせる

なお利用時には、スマフォとサーバーの時間を正確に合わせておく必要があります。

Webサーバーとスマフォの時間が異なると、生成されるワンタイムパスワードの値も異なるために、正常なアクセスが出来なくなります。

 

 

新規のWebサイトへのワンタイムパスワード認証設定

ワンタイムパスワード認証に対応のWebサイトを新規に構築&運用の場合

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE OTP のを利用することで、簡単にワンタイムパスワード認証に対応のWebを運用ができます

https://www.mubit.co.jp/sub/products/blue/img2/otp-04.png

 

 

 

既存のWebサイトへのワンタイムパスワード認証経由でアクセス

また既存のWebサイトには、ワンタイムパスワード認証のリバースプロキシ経由でのアクセスができます。既存のWebサイトの「認証機能が弱い場合」や、既存のWebサイト側の「認証機能がない場合」でも導入が可能です。

  • ワンタイムパスワード認証のリバースプロキシ経由で指定Webサイトへのリダイレクト

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE OTP-Rev のでは、ワンタイムパスワード対応のリバースプロキシ経由で自社Webサイトへアクセスさせる運用ができます

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

 

 

 

既存のWebサイトへのワンタイムパスワード&SSLクライアント認証経由でアクセス

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Web Station は、ワンタイムパスワード認証 & SSLクライアント認証およびリバースプロキシまでの機能を有するサーバーです。ワンタイムパスワード&SSLクライアント認証の併用時のWebサイトの構築・運用を行なうことが出来ます。多要素認証でさらに高い安全性を確保したい場合に有効です。

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-2.png

 

 

WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存の社内WebサーバーをWAN側に移設する場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

 

 

 

Microsoft Authenticatorの場合

無償で利用できるマイクロソフト社のソフトウエア・トークンです

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Microsoft Authenticatorの設定例

 

 

デモサイト

Powered BLUE のデモサイトを用意しています

https://www.mubit.co.jp/sub/products/blue/img2/saml-demo-login.png

各種操作やワンタイムパスワード認証、SSLクライアント認証、SAML認証やリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

 

終わりに

ワンタイムパスワード認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。