前回「RADIUS / LDAP を多要素認証にする MFAサーバーとは?」では、MFAサーバーを構築する内容でした。今回は、導入する際に苦労しそうな部分、多要素認証のための
[電話番号 / モバイルデバイス]の登録方法について、検証したいと思います。
登録方法は、”ユーザーポータル” と “ADFS”を利用する2パターン存在しますが、今回は
ユーザーポータル編をやっていきます!!
先ずは、ユーザーポータルを利用した際の接続の流れ
①User Device(PC)は、ブラウザにてUser Portal(IIS)を通してMFAサーバーに接続する。
※MFAサーバーとActive Directoryは事前に同期済み
②認証が通ると、ブラウザに[電話番号 / モバイルデバイス]登録画面が表示される。
③ユーザー自身で登録作業を行う。
全体の流れ
Step1:IIS のインストール
Step2:証明書発行
Step3:Web Service SDK のインストール
Step4:User Portal のインストール
Step5:電話番号 / モバイルデバイス の登録
※ユーザーポータルとMFAサーバーは別々のサーバーにインストールする事が可能ですが、
今回は、同一サーバーにインストールを行います。
Step1:IIS のインストール
MFAサーバー上に「IIS」をインストールします。
※日本語だとMFA起動時にエラーが発生しますので、英語で行います。
「Web Server (IIS)」
「Basic Authentication」「ASP.NET 4.6」「IIS6 Metabase Compatibility」
Step2:証明書発行
ユーザーポータルへの接続には、暗号化が必須のため、証明書を作成します。
Internet Information Services (IIS) Manager を起動
[Server Certificates]ー[Open Feature]を選択
[Create Self-Signed Certificate]を選択
識別名を入力 ※何かに影響するわけではない
これにて証明書の作成が完了しました。次は、証明書をWebサーバーに割り当てます。
[Default Web Site]右クリックー[Edit Bindings]を選択
[Add]を選択 ※後は、画像を参考にして下さい。
Step3:Web Service SDK のインストール
ユーザーポータル ~ MFAサーバー間の通信を暗号化するためにインストールします。
[WebサービスSDK]ー[WebサービスSDKのインストール]を選択
※Active Directory に「PhoneFactor Admins」グループが作成される。
Step4:User Portal のインストール
電話番号 / モバイルデバイス 登録のためのユーザー向けサイトを作成します。
[ユーザーポータル]ー[ユーザーポータルのインストール]を選択
※Active Directory に「PFUP_MFA-2016」ユーザーが作成される。
・ユーザー登録を許可する:ユーザー自身で、電話番号 / モバイルデバイス の登録を許可する
・ユーザーに認証方法の選択を許可する:ユーザー自身に認証方法の選択権を与える
ー電話 / テキストメッセージ:電話番号の登録を行う事ができる
ーモバイルアプリ:Microsoft Authenticator の登録を行う事ができる
※インストール完了後に再起動を実施
ユーザーポータルへは、”FQDN”で接続する必要があるので、名前の設定を行います。
ユーザーポータルがインストールされた、仮想マシンを選択し、DNS名の構成を選択し、
DNSラベル名を入力します。 例:mfa-2016.japaneast.cloudapp.azure.com
Step5:電話番号 / モバイルデバイス の登録
ユーザーポータルの設定が完了しましたので、接続してみましょう~
“https://mfa-2016.japaneast.cloudapp.azure.com/MultiFactorAuth/”
Active Directoryから同期された、ユーザーアカウントでサインイン
認証方法:電話を選択すると、”電話番号”の登録ができます。
認証方法:テキストメッセージを選択すると、”電話番号”の登録ができます。
認証方法:モバイルアプリを選択すると、”モバイルデバイス”の登録ができます。
[Microsoft Authenticator]ー[アカウントを追加]ー[職場または学校アカウント]を選択
※QRコードでの登録が楽でオススメ
ユーザー情報を確認すると
電話番号が追加されているのが確認できます。
モバイルデバイスが登録されているのが、確認できます。
