二要素認証
Keeperのロールレベルで強制できる二要素認証オプション
Last updated
Keeperのロールレベルで強制できる二要素認証オプション
Last updated
二要素認証 (2FA) は、Keeperのロールベースの強制適用ポリシーを使用して強制できます。また、ユーザーが自分のボルトで直接設定することもできます。Keeperは以下の二要素認証の手法をサポートしています。
SMS通知/ショートメッセージ
Google AuthenticatorやMicrosoft AuthenticatorなどのTOTP生成アプリ
Duo Security
RSA SecurID
Keeper DNA (Apple WatchとAndroid Wearデバイスを使用)
YubiKeyなどのFIDO2 WebAuthn対応物理キー
各ユーザーは自分のボルト内で、設定画面から個別に二要素認証の設定を行うことができます。また、新しいKeeperアカウントを作成すると、ユーザーは二要素認証を有効にするよう促されます。
二要素認証はKeeper管理者も強制適用ポリシーを通して設定でき、ロールレベルで制御されます。
Keeper管理者は、二要素認証方式、トークンの有効期間、その他の関連設定を強制できます。ポリシーはロールレベルで強制できるため、ユーザーに振り分けられたロールごとに異なるポリシーを適用できます。
Duo SecurityやRSA SecurIDなどの一部の二要素認証方式では、Keeper管理者が管理コンソールにログインして事前設定を行う必要があります。 二要素認証の設定にアクセスするには、Keeper管理コンソールで選択したノードの[二要素認証]タブに移動します。二要素認証方式とトークンの保持機能は、ロール強制適用ポリシー画面から強制することもできます。ロール強制適用ポリシーは、特定のノードでの二要素認証チャネルの使用を強制できます。したがって、ノードごとに異なる二要素認証方式でプロビジョニングできます。
Keeperは、DUO Security APIに強固に統合されており、すべてのデバイスプラットフォームと完全に対応しています。プッシュ方式とSMS方式の両方がサポートされています。Duo Securityを有効にするには、以下の手順を実行します。
Duo.comにアクセスしてアカウントを作成するか、すでにアカウントをお持ちの場合はログインします。
左側のメニューからアプリケーション (Applications) を選択します。
アプリケーションの保護 (Protect An Application) を選択してアプリケーションの一覧を表示しKeeper Securityを選択します。
表示された認証情報をDuoのサイトからコピーします (表示に必要な秘密鍵の選択を含む)。
Keeper管理コンソールに戻り、[二要素認証]タブを選択します。DUOの欄の右端の歯車アイコンを選択し、DUOのサイトからコピーした認証情報を貼り付けます。[有効にする]をオンにし、[保存]をクリックして完了します。
ユーザー名の正規化に関する重要な注意事項
Duoでログインしようとした際にエラーが表示された場合は、「ユーザー名の正規化 (Username normalization)」の設定の確認が必要であると考えられます。Keeperのメールアドレスは、KeeperのバックエンドがDuoのAPIと通信するときに使用されます。Duo環境にメールアドレスではなくユーザー名が設定されている場合は、Duoコンソールの設定ページで「ユーザー名の正規化 (Username normalization)」の設定を確認し、[シンプル (Simple)]を選択してください。
一度DUOが有効化されると、各ユーザーはKeeperアプリにログインして、[設定] > [セキュリティ]画面に移動してDUOを有効にすることでDUOに登録できます。その後、デバイスを有効にする手順が表示されます。
有効化すると、すべてのデバイスでDuo Securityが表示されるようになります。
お好みの二要素認証方式をボルトから直接設定します。右上隅のアカウントのメールアドレスをクリックし、[設定] > [セキュリティ]の順にクリックして、二要素認証をオンに切り替えます。すると、以下で説明する二要素認証方式のいずれかを選択するように求められます。
Keeperは二要素認証コードのSMS通知 (ショートメッセージ) による配信をサポートしています。方式の一覧から、SMS通知をオンに切り替えて、電話番号を入力します。
方式の一覧から[認証アプリ]をオンに切り替えます。その後Google Authenticator、Microsoft Authenticator、またはその他のTOTP対応のアプリケーションをモバイルデバイスにダウンロードし、Keeperが表示するQRコードをスキャンして新しいエントリーを追加します。
Keeper DNAは、ユーザーが所有するネットワーク接続デバイスを使用して独自のプロファイルを作成し、ユーザーIDを検証してログインさせるための第2の要素として使用します。Keeperは、Apple WatchとAndroid Wearデバイスをサポートしています。スマートウォッチ (KeeperDNA) 方式を有効にするには、モバイルデバイスで[設定] > [セキュリティ] > [二要素認証]の順にタップし、方式として[スマートウォッチ (KeeperDNA)]を選択します。
YubiKeyやGoogle TitanキーなどのFIDO WebAuthnに対応したハードウェアセキュリティキーを使用してKeeperボルトを保護できます。これらのキーで二要素認証 (2FA) を安全かつ簡単に実現できます。
セキュリティキーは、KeeperウェブボルトまたはKeeperデスクトップアプリで設定します。セキュリティキーを使用して二要素認証を有効にするには、以下の手順に従います。
ボルトの右上隅にあるアカウントのメールアドレスをクリックし、[設定] > [セキュリティ]の順にクリックします。
二要素認証を有効にし、[二要素認証を編集]をクリックして、標準的な二要素認証方式を有効にします。これは、セキュリティキーがサポートされていない場合や使用できない場合のバックアップ方式として使用されます。SMSではなく認証アプリ (TOTP) をバックアップ方式として使用してください。そうしないと、セキュリティキーでログインするたびにSMSコードが送信されます。Keeperは、二要素認証にGoogle Authenticatorまたはそれに相当するTOTP生成ツールを使用して、SIM乗っ取り攻撃のリスクを解消することを推奨しています。
[セキュリティ]メニューで、セキュリティキーの隣の[セットアップ]をクリックします。
画面上の指示に従って、セキュリティキーの名前を入力し、[登録]を選択します。
セキュリティキーにボタンまたはYubicoなどのゴールドディスクがある場合は、そのボタンを押して登録します。
Keeper暗号化モデルで説明されているKeeperの認証システムでは、マスターパスワードによる認証の前にデバイスの検証と二要素認証の検証が必要です。
セキュリティキーを使用してブラウザ拡張機能にログインする場合の流れは、ユーザーの観点からは少し異なりますが、セキュリティレベルは同じです。 ブラウザ拡張機能へのログインフローでは、ユーザーはマスターパスワードの入力を求められますが、この情報はデバイスの検証と二要素認証が完了するまで処理されません。これはブラウザ拡張機能が現在ネイティブセキュリティキーをサポートしていないためです。
現在Keeperでは、TOTP、SMS、Duo、RSA、Keeper DNAのいずれかを使用して、バックアップ二要素認証方式を設定する必要があります。 バックアップ二要素認証方式は、デバイスがハードウェアセキュリティキーをサポートしていないか、ユーザーがキーを利用できない場合に使用します。
バックアップ二要素認証方式の設定をお望みでないお客様には、TOTP方式を使用して、設定後にシードを破棄することをお勧めします。一部のデバイスでは、バックアップ二要素認証方式を使用しないと認証に障害が生じる可能性があることにご注意ください。また、登録済みのセキュリティキーをすべて紛失した場合は、Keeper管理者またはKeeperサポートチームに連絡して、二要素認証方式の変更を依頼する必要があることにもご留意ください。
管理者は、すべてのユーザーに対して二要素認証を無効にできます。
各プラットフォームでの二要素認証の設定手順の詳細については、に記載されています。
強制適用ポリシーの詳細については、のページをご参照ください。
DUOには、ユーザー名の正規化について説明したナレッジベースの記事があります。詳細についてはをご参照ください。
Keeperの認定バックエンドとRSA SecurIDとの統合は、Keeperのエンジニアリングチームによってお客様のアカウント用に設定できます。RSA SecurIDを有効にするには、お客様に応じて追加の接続や設定が必要です。この統合を開始するには、Keeperアカウントマネージャー () までお問い合わせください。