二要素認証

概要

二要素認証 (2FA) は、Keeperのロールベースの強制適用ポリシーを使用して強制できます。また、ユーザーが自分のボルトで直接設定することもできます。Keeperは以下の二要素認証の手法をサポートしています。

• SMS通知/ショートメッセージ

• Google AuthenticatorやMicrosoft AuthenticatorなどのTOTP生成アプリ

• Duo Security

• RSA SecurID

• Keeper DNA (Apple WatchとAndroid Wearデバイスを使用)

• YubiKeyなどのFIDO2 WebAuthn対応物理キー

エンドユーザーの設定

各ユーザーは自分のボルト内で、設定画面から個別に二要素認証の設定を行うことができます。また、新しいKeeperアカウントを作成すると、ユーザーは二要素認証の有効化も求められます。

二要素認証の強制適用ポリシー

二要素認証はKeeper管理者が強制可能で、ロールレベルで制御されます。

Keeper管理者は、二要素認証方式、トークンの有効期間、その他の関連設定を強制できます。ポリシーはロールレベルで強制できるため、それぞれに異なるポリシーを適用できます。

強制適用ポリシーの詳細については、こちらご参照ください。

DuoとRSA SecurIDの設定

Duo SecurityやRSA SecurIDなどの一部の二要素認証方式では、Keeper管理者が管理コンソールにログインして事前設定を行う必要があります。 二要素認証の設定にアクセスするには、Keeper管理コンソールで選択したノードの[二要素認証]タブに移動します。二要素認証方式とトークンの保持機能は、ロールの強制適用ポリシー画面から強制することもできます。ロール強制適用ポリシーは、特定のノードでの二要素認証チャネルの使用を強制できます。したがって、ノードごとに異なる二要素認証方式でプロビジョニングできます。

Duo Securityの設定

Keeperは、DUO Security APIに強固に統合されており、すべてのデバイスプラットフォームと完全に対応しています。プッシュ方式とSMS方式の両方がサポートされています。Duo Securityを有効にするには、以下の手順を実行します。

1. Duo.comにアクセスしてアカウントを作成するか、すでにアカウントをお持ちの場合はログインします。

2. 左側のメニューからアプリケーション (Applications) を選択します。

3. アプリケーションの保護 (Protect An Application) を選択してアプリケーションの一覧を表示しKeeper Securityを選択します。

4. 表示された認証情報をDuoのサイトからコピーします（表示に必要な秘密鍵の選択を含む）。

5. Keeper管理コンソールに戻り、[二要素認証]タブを選択します。DUOの欄の右端の歯車アイコンを選択し、DUOのサイトからコピーした認証情報を貼り付けます。[有効にする]スイッチをオンにし、[保存]をクリックして完了します。

ユーザー名の正規化に関する重要な注意事項

Duoでログインしようとした際にエラーが表示された場合は、「ユーザー名の正規化（Username normalization）」の設定の確認が必要であると考えられます。Keeperのメールアドレスは、KeeperのバックエンドがDuoのAPIと通信するときに使用されます。Duo環境にメールアドレスではなくユーザー名が設定されている場合は、Duoコンソールの設定ページで「ユーザー名の正規化（Username normalization）」の設定を確認し、「シンプル（Simple）」を選択してください。

一度DUOが有効化されると、各ユーザーはKeeperアプリにログインして、[設定] > [セキュリティ]画面に移動してDUOを有効にすることで、DUOに登録できます。その後、デバイスを有効にする手順が表示されます。

有効化すると、すべてのデバイスでDuo Securityが表示されるようになります。

その他の二要素認証方式のサポート

好みの二要素認証方式をボルトから直接設定します。右上隅のアカウントのメールアドレスをクリックし、[設定] > [セキュリティ]の順にクリックして、二要素認証をONに切り替えます。すると、以下で説明する二要素認証方式のいずれかを選択するように求められます。

SMS通知

Keeperは二要素認証コードのSMS通知 (ショートメッセージ) による配信をサポートしています。方式の一覧から、SMS通知をオンに切り替えて、電話番号を入力します。

TOTP方式

方式の一覧から[認証アプリ]をオンに切り替えます。その後Google Authenticator、Microsoft Authenticator、またはその他のTOTP対応のアプリケーションをモバイルデバイスにダウンロードし、Keeperが表示するQRコードをスキャンして新しいエントリーを追加します。

スマートウォッチ (KeeperDNA)

Keeper DNAは、ユーザーが所有するネットワーク接続デバイスを使用して独自のプロファイルを作成し、ユーザーIDを検証してログインさせるための第2の要素として使用します。Keeperは、Apple WatchとAndroid Wearデバイスをサポートしています。スマートウォッチ (KeeperDNA) 方式を有効にするには、モバイルデバイスで[設定] > [セキュリティ] > [二要素認証] の順にタップし、方式として[KeeperDNA]を選択します。

RSA SecurIDの設定

Keeperの認定バックエンドとRSA SecurIDとの統合は、Keeperのエンジニアリングチームがお客様のアカウントに対して設定できます。RSA SecurIDを有効にするには、お客様の新たな統合ポイントが必要です。この統合を開始するには、Keeperアカウントマネージャー (business.support@keepersecurity.com) までお問い合わせください。

セキュリティキー (FIDO2 WebAuthn)

YubiKeyやGoogle TitanキーなどのFIDO WebAuthnに対応したハードウェアセキュリティキーを使用してKeeperボルトを保護できます。これらのキーで二要素認証 (2FA) を安全かつ簡単に実現できます。

セキュリティキーは、KeeperウェブボルトまたはKeeperデスクトップアプリで設定します。セキュリティキーを使用して二要素認証を有効にするには、以下の手順に従います。

1. ボルトの右上隅にあるアカウントのメールアドレスをクリックし、[設定] > [セキュリティ]の順にクリックします。

2. 二要素認証を有効にし、[二要素認証を編集]をクリックして、標準的な二要素認証方式を有効にします。これは、セキュリティキーがサポートされていない場合や使用できない場合のバックアップ方式として使用されます。SMSではなく[認証アプリ] (TOTP) をバックアップ方式として使用してください。そうしないと、セキュリティキーでログインするたびにSMSコードが送信されます。Keeperは、二要素認証にGoogle Authenticatorまたはそれに相当するTOTP生成ツールを使用して、SIM乗っ取り攻撃のリスクを解消することを推奨しています。

3. 前の[セキュリティ]メニューで、セキュリティキーの隣の[設定]をクリックします。

4. 画面上の指示に従って、セキュリティキーの名前を入力し、[登録]を選択します。

5. セキュリティキーにボタンまたはYubicoなどのゴールドディスクがある場合は、そのボタンを押して登録します。

セキュリティキーを使用したログイン操作

Keeper暗号化モデルで説明されているKeeperの認証システムでは、マスターパスワードによる認証の前にデバイスの検証と二要素認証の検証が必要です。

セキュリティキーを使用してブラウザ拡張にログインする場合の流れは、ユーザーの観点からは少し異なりますが、セキュリティレベルは同じです。 ブラウザ拡張ログインフローでは、マスターパスワードの入力を求められますが、この情報は、デバイスの検証と二要素認証手順の実行が完了するまで処理されません。 このワークフローは、ブラウザ拡張が現在ネイティブセキュリティキーをサポートしていないためです。

バックアップ二要素認証方式

現在、Keeperでは、TOTP、SMS、Duo、RSA、またはKeeper DNAのいずれかを使用して、バックアップ二要素認証方式を設定する必要があります。 バックアップ二要素認証方式は、デバイスがハードウェアセキュリティキーをサポートしていないか、またはキーを利用できない場合に使用します。

バックアップ二要素認証方式の設定をお望みでないお客様には、TOTP方式を使用して、設定後にシードを廃棄することをお勧めします。一部のデバイスでは、バックアップ二要素認証方式を使用しないと認証に障害が生じる可能性があることにご注意ください。また、登録済みのセキュリティキーをすべて紛失した場合は、Keeper管理者またはKeeperサポートチームに連絡して、二要素認証方式の変更を依頼する必要があることにもご留意ください。

管理者による二要素認証の管理

管理者は、すべてのユーザーに対して二要素認証を無効にできます。