Duoを使用した2FA

DuoをKeeperコネクションマネージャーと連携させて2FAを実現

KeeperコネクションマネージャーではDuoを2要素認証として使用でき、初回認証の後jは自動的にDuoでユーザーの本人確認を行います。この統合はDuo Web SDK V4を使用しています。

Duoのセットアップ

DUO Security管理ポータルから設定

  1. [Protect an Application]を選択します。

  2. 「Web SDK」を検索します。

    • 注意: Keeper Securityはボルト専用ですので選択しないでください。

  3. 「Web SDK」を選択して[Protect]をクリックします。

  4. 以下の情報を取得します。

    • クライアントID

    • クライアントシークレット

    • APIホスト名

  5. 上記の3つの設定オプションを、keeper/guacamole DockerイメージのDUO_* 環境変数として渡します。

Docker環境変数

docker-compose.yamlファイルのkeeper/guacamoleイメージセクションを変更してDuoサポート用の環境変数を追加します。

DUO_API_HOSTNAME

必須項目。DuoのAPIエンドポイントのホスト名を指定します。このエンドポイントは、ユーザーの本人確認を行うために使用されます。このホスト名は、Duoの管理ポータルでGuacamoleを「Web SDK」アプリケーションとして追加した際に割り当てられたものです。詳細については、Duoの「Admin」パネル内のアプリケーション詳細セクションに記載されています。

DUO_AUTH_TIMEOUT

認証試行のタイムアウト時間を分単位で指定します。この時間を超過した認証試行は無効になります。デフォルトでは、Duo認証の試行は 5 分後にタイムアウトします。

DUO_CLIENT_ID

必須項目。KCMを「Web SDK」アプリケーションとして追加した際にDuoから付与されるクライアントID。この値はDuoの「Admin」パネル内のアプリケーション詳細に記載されています。

DUO_CLIENT_SECRET

必須項目。KCMを「Web SDK」アプリケーションとして追加した際にDuoから付与されるクライアントシークレット。この値はDuoの「Admin」パネル内のアプリケーション詳細に記載されています。

DUO_REDIRECT_URI

必須項目。Duoサービスが認証済みユーザーのブラウザをKCMにリダイレクトするために使用するユーザー向けURI。KCMの展開で使用するURIです (例: https://kcm.company.com)

PreviousTOTPを使用した2FANextSSL/TLSクライアント認証

Last updated