MFAサーバー にデバイスを登録する!! ~ユーザーポータル編~

いいね!!

前回「RADIUS / LDAP を多要素認証にする MFAサーバーとは?」では、MFAサーバーを構築する内容でした。今回は、導入する際に苦労しそうな部分、多要素認証のための
[電話番号 / モバイルデバイス]の登録方法について、検証したいと思います。

登録方法は、”ユーザーポータル” と “ADFS”を利用する2パターン存在しますが、今回は
ユーザーポータル編をやっていきます!!

先ずは、ユーザーポータルを利用した際の接続の流れ

①User Device(PC)は、ブラウザにてUser Portal(IIS)を通してMFAサーバーに接続する。
※MFAサーバーとActive Directoryは事前に同期済み
②認証が通ると、ブラウザに[電話番号 / モバイルデバイス]登録画面が表示される。
③ユーザー自身で登録作業を行う。


全体の流れ

Step1:IIS のインストール
Step2:証明書発行
Step3:Web Service SDK のインストール
Step4:User Portal のインストール
Step5:電話番号 / モバイルデバイス の登録

※ユーザーポータルとMFAサーバーは別々のサーバーにインストールする事が可能ですが、
今回は、同一サーバーにインストールを行います。


Step1:IIS のインストール

MFAサーバー上に「IIS」をインストールします。
※日本語だとMFA起動時にエラーが発生しますので、英語で行います。

「Web Server (IIS)」

「Basic Authentication」「ASP.NET 4.6」「IIS6 Metabase Compatibility」


Step2:証明書発行

ユーザーポータルへの接続には、暗号化が必須のため、証明書を作成します。

Internet Information Services (IIS) Manager を起動
[Server Certificates]ー[Open Feature]を選択

[Create Self-Signed Certificate]を選択

識別名を入力 ※何かに影響するわけではない

これにて証明書の作成が完了しました。次は、証明書をWebサーバーに割り当てます。

[Default Web Site]右クリックー[Edit Bindings]を選択

[Add]を選択 ※後は、画像を参考にして下さい。


Step3:Web Service SDK のインストール

ユーザーポータル ~ MFAサーバー間の通信を暗号化するためにインストールします。

[WebサービスSDK]ー[WebサービスSDKのインストール]を選択
※Active Directory に「PhoneFactor Admins」グループが作成される。


Step4:User Portal のインストール

電話番号 / モバイルデバイス 登録のためのユーザー向けサイトを作成します。

[ユーザーポータル]ー[ユーザーポータルのインストール]を選択
※Active Directory に「PFUP_MFA-2016」ユーザーが作成される。

・ユーザー登録を許可する:ユーザー自身で、電話番号 / モバイルデバイス の登録を許可する
・ユーザーに認証方法の選択を許可する:ユーザー自身に認証方法の選択権を与える
ー電話 / テキストメッセージ:電話番号の登録を行う事ができる
ーモバイルアプリ:Microsoft Authenticator の登録を行う事ができる

※インストール完了後に再起動を実施

ユーザーポータルへは、”FQDN”で接続する必要があるので、名前の設定を行います。

ユーザーポータルがインストールされた、仮想マシンを選択し、DNS名の構成を選択し、
DNSラベル名を入力します。 例:mfa-2016.japaneast.cloudapp.azure.com


Step5:電話番号 / モバイルデバイス の登録

ユーザーポータルの設定が完了しましたので、接続してみましょう~
“https://mfa-2016.japaneast.cloudapp.azure.com/MultiFactorAuth/”

Active Directoryから同期された、ユーザーアカウントでサインイン

認証方法:電話を選択すると、”電話番号”の登録ができます。

認証方法:テキストメッセージを選択すると、”電話番号”の登録ができます。

認証方法:モバイルアプリを選択すると、”モバイルデバイス”の登録ができます。

[Microsoft Authenticator]ー[アカウントを追加]ー[職場または学校アカウント]を選択
※QRコードでの登録が楽でオススメ

ユーザー情報を確認すると

電話番号が追加されているのが確認できます。

モバイルデバイスが登録されているのが、確認できます。