二要素認証

Keeperには、ロールレベルで強制できる二要素認証オプションがいくつか用意されています。

概要

二要素認証(2FA)は、Keeperのロールベースの強制ポリシーを使用して強制できます。また、エンドユーザーが自分のボルトで直接設定することもできます。Keeperがサポートする二要素認証の一般的な手法には、以下のようなものがあります。

  • SMS/SMS通知

  • Google AuthenticatorやMicrosoft AuthenticatorなどのTOTP生成アプリ

  • RSA SecurID

  • Duo Security

  • YubiKeyなどのFIDO2 WebAuthn対応物理キー

  • Keeper DNA(Apple WatchとAndroid Wearデバイスを使用)

エンドユーザーの設定

各ユーザーは自分のボルト内で、ボルト設定画面から個別に二要素認証の設定を行うことができます。新しいKeeperアカウントを作成すると、エンドユーザーは二要素認証の有効化も求められます。

各種プラットフォームの二要素認証の設定手順の詳細は、エンドユーザーガイドに記載されています。

二要素認証の強制ポリシー

二要素認証はKeeper管理者が強制可能で、ロールレベルで制御されます。

Keeper管理者は、二要素認証方式、トークンの有効期間、その他の関連設定を強制できます。ポリシーはロールレベルで強制できるため、ユーザーセットごとに異なるポリシーを適用できます。

強制ポリシーの詳細な説明は、こちらをクリックしてください。

DuoとRSA SecurIDの設定

Duo SecurityやRSA SecurIDなどの一部の二要素認証方式では、Keeper管理者が管理コンソールにログインして事前設定を行う必要があります。 二要素認証の設定にアクセスするには、選択したノードのKeeper管理コンソールの2FAタブに移動します。二要素認証方式とトークンの保持機能は、ロールの強制ポリシー画面から強制することもできます。ロール強制ポリシーは、特定のノードでの二要素認証チャネルの使用を強制できます。したがって、ノードごとに異なる二要素認証方式でプロビジョニングできます。

Duo Securityの設定

Keeperは、当社のすべてのデバイスプラットフォームと完全に一体化されているDUO Security APIに強固に統合されています。プッシュ方式とSMS方式の両方がサポートされています。Duo Securityを有効にするには、以下の手順を実行します。

  1. Duo.comにログインし、アカウントを作成します(またはすでにアカウントをお持ちの場合はログインします)。

  2. 左側のメニューからアプリケーション(Applications)を選択します。

  3. アプリケーションの保護(Protect An Application)を選択してアプリケーションの一覧を表示し、リストからKeeper Securityを選択します。

  4. 表示された認証情報をDuoのサイトからコピーします(表示に必要な秘密鍵の選択を含む)。

  5. Keeper管理コンソールに戻り、2FAタブを選択します。DUOの下の歯車アイコンを選択し、DUOのサイトからコピーした認証情報を貼り付けます。有効化(Enable)スイッチを「ON」にし、保存(Save)をクリックして完了します。

ユーザー名の正規化に関する重要な注意事項

Duoでログインしようとしたときにエラーが表示された場合は、「ユーザー名の正規化(Username normalization)」の設定の確認が必要と考えられます。Keeperのメールアドレスは、KeeperのバックエンドがDuoのAPIと通信するときに使用されます。Duo環境にメールアドレスではなくユーザー名が設定されている場合は、Duoコンソールの設定ページで「ユーザー名の正規化(Username normalization)」の設定を確認し、「シンプル(Simple)」を必ず選択してください。

DUOには、ユーザー名の正規化について説明した役立つナレッジベースの記事があります。https://help.duo.com/s/article/aliases-guide?language=en_US

各ユーザーは有効化されると、Keeperアプリにログインして、設定 > セキュリティ画面に移動し、DUOを有効にすることで、DUOに登録できます。その後、デバイスを有効にする手順が表示されます。

有効化すると、すべてのデバイスでDuo Securityが表示されるようになります。

その他の二要素認証方式のサポート

好みの二要素認証方式をボルトから直接設定します。右上隅のアカウントのメールアドレスをクリックし、セキュリティ > 設定の順にクリックして、二要素認証をONに切り替えます。すると、以下で説明する二要素認証方式のいずれかを選択するように求められます。

SMS通知

Keeperは、二要素認証コードのSMS通知(SMS)による配信をサポートしています。方式の一覧から、SMS通知を「ON」を切り替えて、電話番号を入力します。

TOTP方式

方式の一覧から、Google認証とMicrosoft認証(TOTP)を「ON」を切り替えます。Google Authenticator、Microsoft Authenticator、またはTOTP対応のアプリケーションをモバイルデバイスにダウンロードし、Keeperが表示するQRコードをスキャンして新しいエントリーを追加します。

スマートウォッチ(KeeperDNA)

Keeper DNAは、ユーザーが所有するネットワーク接続デバイスを使用して独自のプロファイルを作成し、ユーザーIDを検証してログインさせるための第2の要素として使用します。Keeperは、Apple WatchとAndroid Wearデバイスをサポートしています。スマートウォッチ(KeeperDNA)方式を有効にするには、モバイルデバイスで設定 > 二要素認証 の順にタップし、方式としてスマートウォッチ(KeeperDNA)を選択します。

RSA SecurIDの設定

Keeperの認定バックエンドとRSA SecurIDとの統合は、Keeperのエンジニアリングチームがお客様のアカウントに対して設定できます。RSA SecurIDを有効にするには、お客様の新たな統合ポイントが必要です。この統合を開始するには、Keeperアカウントマネージャー(business.support@keepersecurity.com)までお問い合わせください。

セキュリティキー(FIDO2 WebAuthn)

YubiKeyやGoogle TitanキーなどのFIDO WebAuthnに対応したハードウェアセキュリティキーを使用してKeeperボルトを保護できます。これらのキーで二要素認証 (2FA) を安全かつ簡単に実現できます。

セキュリティキーは、Keeper WebボルトまたはKeeper Desktopアプリで設定します。セキュリティキーを使用して二要素認証を有効にするには、以下の手順に従います。

  1. ボルトの右上隅にあるアカウントのメールアドレスをクリックし、設定 > セキュリティの順にクリックします。

  2. 二要素認証を有効にし、二要素認証を編集をクリックして、標準的な二要素認証方式を有効にします。これは、セキュリティキーがサポートされていない場合や使用できない場合のバックアップ方式として使用されます。SMSではなくGoogle認証(TOTP)をバックアップ方式として使用してください。そうしないと、セキュリティキーでログインするたびにSMSコードが送信されます。Keeperは、二要素認証にTOTP(Google Authenticatorまたは同等のツール)生成ツールを使用して、SIM乗っ取り攻撃のリスクを解消することを推奨しています。

  3. 前のセキュリティメニューで、セキュリティキーの隣の設定をクリックします。

  4. 画面上の指示に従って、セキュリティキーの名前を入力し、登録を選択します。

  5. セキュリティキーにボタンまたはゴールドディスク(Yubicoなど)がある場合は、そのボタンを押して登録します。

セキュリティキーを使用したログイン操作

Keeper暗号化モデルで説明されているKeeperの認証システムでは、マスターパスワードによる認証の前にデバイスの検証と二要素認証の検証が必要です。

セキュリティキーを使用してブラウザ拡張にログインする場合の流れは、ユーザーの観点からは少し異なりますが、セキュリティレベルは同じです。 ブラウザ拡張ログインフローでは、マスターパスワードの入力を求められますが、この情報は、デバイスの検証と二要素認証手順の実行が完了するまで処理されません。 このワークフローは、ブラウザ拡張が現在ネイティブセキュリティキーをサポートしていないためです。

バックアップ二要素認証方式

現在、Keeperでは、TOTP、SMS、Duo、RSA、またはKeeper DNAのいずれかを使用して、バックアップ二要素認証方式を設定する必要があります。 バックアップ二要素認証方式は、デバイスがハードウェアセキュリティキーをサポートしていないか、またはキーを利用できない場合に使用します。

バックアップ二要素認証方式の設定をお望みでないお客様には、TOTP方式を使用して、設定後にシードを廃棄することをお勧めします。一部のデバイスでは、バックアップ二要素認証方式を使用しないと認証に障害が生じる可能性があることにご注意ください。また、登録済みのセキュリティキーをすべて紛失した場合は、Keeper管理者またはKeeperサポートチームに連絡して、二要素認証方式の変更を依頼する必要があることにもご留意ください。

管理者による二要素認証の管理

管理者は、すべてのユーザーに対して二要素認証を無効にできます。

Last updated