二要素認証
Keeperのロールレベルで強制できる二要素認証オプション
概要
二要素認証 (2FA) は、Keeperのロール単位の強制適用ポリシーで適用できます。また、ユーザーがボルトで直接設定することもできます。Keeperでは以下の二要素認証方式がサポートされています。
SMS通知/ショートメッセージ
Google AuthenticatorやMicrosoft AuthenticatorなどのTOTP生成アプリ
Duo Security
RSA SecurID
Keeper DNA (Apple WatchとAndroid Wearデバイスを使用)
YubiKeyなどのFIDO2 WebAuthn対応物理キー
エンドユーザーの設定
各ユーザーは自分のボルト内で、[設定]画面から個別に二要素認証の設定を行うことができます。また、新しいKeeperアカウントを作成すると、ユーザーは二要素認証を有効にするよう促されます。
二要素認証の強制適用ポリシー
二要素認証は強制適用ポリシーを通しても設定でき、ロール別に制御されます。
Keeper管理者は、二要素認証方式、トークンの有効期間などを設定できます。ポリシーはロール別に強制適用できるため、ロールごとに異なるポリシーを適用できます。
強制適用ポリシーの詳細については、こちらのページをご参照ください。
DuoとRSA SecurIDの設定
Duo SecurityやRSA SecurIDなどの一部の二要素認証方式では、Keeper管理者が管理コンソールから事前設定を行う必要があります。 二要素認証の設定にアクセスするには、[管理者]画面からノードを選択し、[二要素認証]タブに移動します。二要素認証方式とトークンの保持機能は、ロール強制適用ポリシー画面から適用することもできます。ロール強制適用ポリシーにより、特定のノードで二要素認証方式を適用できます。したがって、ノードごとに異なる二要素認証方式でプロビジョニングできます。
Duo Securityの設定
KeeperはすべてのKeeperプラットフォームでDUO Security APIに統合されており、プッシュ方式とSMS方式の両方がサポートされています。Duo Securityを有効にするには、以下の手順を実行します。
Duo.comにアクセスしてアカウントを作成するか、すでにアカウントをお持ちの場合はログインします。
左側のメニューから[Applications] (アプリケーション) を選択します。
[Protect An Application] (アプリケーションの保護) を選択してアプリケーションの一覧を表示し、[Keeper Security]を選択します。
Duoのサイトから秘密鍵を含む認証情報をコピーします (秘密鍵を表示するには選択する必要があります)。
Keeper管理コンソールに戻り、[管理者]画面で[二要素認証]タブを選択します。DUOの欄の右端の歯車アイコンを選択し、DUOのサイトからコピーした認証情報を貼り付けます。[有効にする]をオンにし、[保存]をクリックして完了します。
ユーザー名の正規化に関する重要な注意事項
Duoでログインしようとした際にエラーが表示された場合は、「Username normalization」 (ユーザー名の正規化) の設定を確認します。KeeperのバックエンドがDuoのAPIと通信する際にはKeeperのメールアドレスが使用されます。Duo環境にメールアドレスではなくユーザー名が設定されている場合は、Duoコンソールの設定ページで「Username normalization」 (ユーザー名の正規化) の設定を確認し、[Simple] (シンプル) を選択してください。
DUOのナレッジベースにユーザー名の正規化についての記事がありますので、ご参照ください。
DUOが有効化されると、各ユーザーはKeeperアプリにログインして、[設定] > [セキュリティ]画面に移動してDUOを有効してDUOに登録します。その後、デバイスを有効にする手順が表示されます。
有効化すると、すべてのデバイスでDuo Securityが表示されるようになります。
その他の二要素認証方式のサポート
任意の二要素認証方式をボルトから直接設定します。右上隅のアカウントのメールアドレスをクリックし、[設定] > [セキュリティ]の順にクリックして、二要素認証をオンに切り替えます。以下の二要素認証方式のいずれかを選択します。
SMS通知
Keeperは二要素認証コードのSMS通知 (ショートメッセージ) による配信をサポートしています。二要素認証方式の一覧から、SMS通知をオンに切り替えて、電話番号を入力します。
TOTP方式
二要素認証方式の一覧から[認証アプリ]をオンに切り替えます。その後Google Authenticator、Microsoft AuthenticatorなどのTOTP対応アプリケーションをモバイル端末にダウンロードし、Keeperに表示されるQRコードをスキャンして新しいエントリーを追加します。
スマートウォッチ (KeeperDNA)
Keeper DNAでは、ユーザーが所有するネットワーク接続デバイスを使用して独自のプロフィールが作成され、本人確認のための第2要素として機能します。Apple WatchとAndroid Wearデバイスに対応しています。スマートウォッチ (KeeperDNA) 方式を有効にするには、モバイル端末で[設定] > [セキュリティ] > [二要素認証]の順にタップし、[スマートウォッチ (KeeperDNA)]を選択します。
RSA SecurIDの設定
KeeperのバックエンドとRSA SecurIDとの統合は、Keeperのエンジニアリングチームが設定します。RSA SecurIDを有効にためには、ユーザー側で追加設定が必要となります。詳しくは、Keeperアカウントマネージャー (business.support@keepersecurity.com) までお問い合わせください。
セキュリティキー (FIDO2 WebAuthn)
YubiKeyやGoogle TitanキーなどのFIDO WebAuthnに対応したハードウェアセキュリティキーを使用して、二要素認証 (2FA) を安全かつ簡単に実現できます。
セキュリティキーは、ウェブボルトまたはデスクトップアプリで設定します。以下はセキュリティキーを使用した二要素認証を有効にするための手順となります。
ボルトの右上隅にあるアカウントのメールアドレスをクリックし、[設定] > [セキュリティ]の順にクリックします。
二要素認証を有効にし、二要素認証の箇所で[編集]をクリックして、標準の二要素認証方式を有効にします。これは、セキュリティキーがサポートされていない場合や使用できない場合のバックアップとして使用されます。SMSではなく認証アプリ (TOTP) をバックアップ方式として使用するようにしてください。そうでない場合、セキュリティキーでログインするたびにSMSコードが送信されてしまいます。SIM乗っ取り攻撃を防ぐため、二要素認証にはGoogle AuthenticatorなどのTOTP生成ツールを使用することを推奨しています。
[二要素認証]メニューで、[セキュリティキー]の右側にある[セットアップ]をクリックします。
画面上の指示に従ってセキュリティキーの名前を入力し、[登録]をクリックします。
セキュリティキーにボタンまたはYubicoなどのゴールドディスクがある場合は、そのボタンを押して登録します。
セキュリティキーを使用したログイン
Keeper暗号化モデルで説明されているKeeperの認証システムでは、マスターパスワードによる認証の前にデバイスの検証と二要素認証の検証が必要となります。
セキュリティキーを使用してブラウザ拡張機能にログインする場合の流れは、ユーザーの観点からは少し異なりますが、セキュリティレベルに関しては同じです。 ブラウザ拡張機能へのログインフローでは、ユーザーはマスターパスワードの入力を求められますが、この情報はデバイスの検証と二要素認証が完了するまでは処理されません。これはブラウザ拡張機能では現在ネイティブセキュリティキーがサポートされていないためです。
バックアップ用二要素認証方式
Keeperでは、現在TOTP、SMS、Duo、RSA、Keeper DNAのいずれかを使用して、バックアップ用二要素認証方式を設定する必要があります。 バックアップ用二要素認証方式は、デバイスでハードウェアセキュリティキーがサポートされていないか、ユーザーがキーを利用できない場合に使用します。
バックアップ用二要素認証方式を設定しない場合には、TOTP方式を使用して、設定後にシードを破棄することをお勧めします。一部のデバイスでは、バックアップ二要素認証方式を使用しないと認証に障害が生じる可能性がありますのでご留意ください。また、登録済みのセキュリティキーをすべて紛失した場合は、Keeper管理者またはKeeperサポートチームにお問い合わせの上、二要素認証方式の変更が必要となることにもご留意ください。
管理者による二要素認証の管理
管理者は、すべてのユーザーに対して二要素認証を無効にできます。
Last updated