多要素認証チェッカー
Liferay DXP 7.4には、多要素認証用の2つの追加の要素チェッカーが付属しています。 これらは特定の状況でのみ役立つため、デフォルトでは両方とも無効になっています。 ただし、多要素認証を有効にすると、それらを設定できます。
IPアドレスMFAチェッカー
IPアドレスチェッカーは、Liferay DXPが内部ネットワークから、またはVPNを介して接続しているユーザーのグループにサービスを提供する場合に役立ちます。 このチェッカーを有効にすると、ユーザーのIPアドレスが許可されたIPアドレスマスクと比較されます。 それらが一致する場合、ユーザーは他のチェッカーをバイパスしてログインできます。 これは基本的に、信頼できるネットワークを認証時の追加要素として定義するものです。 デフォルトでは、以下に示す最初のIPアドレスとマスクのみが有効になっていることに注意してください。
[コントロールパネル] → [Instance Settings] → [セキュリティ] → [多要素認証] → [IPアドレス設定] から、任意の数のIPアドレスマスクを設定に追加できます。
Enabled : IPアドレス設定が有効な場合、インスタンスはユーザーのIPアドレスを有効なリストと照合します。 リストにある場合は、他の多要素認証検証ツールを表示せずにアクセスを許可します。
許可するIPアドレスとネットワークマスク : 許可されたIPアドレス範囲とネットワークマスクを追加します。 デフォルトは127.0.0.1/255.0.0.0、::1/128, 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、fc00::/7です。
タイムベースワンタイムパスワードMFAチェッカー
タイムベースワンタイムパスワードチェッカーは、 Google App Authenticator をベースにした追加のチェッカーを提供するものです。
ユーザーは、この検証ツールを選択するためのプロファイルオプションを取得します。 有効にすると、ユーザーは利便性のために一定期間持続する追加要素を提供するコードを生成することができます。 ユーザーは、特定のデバイスまたはWebブラウザの要素を定義して、その追加の要素を自動的に提供することができます。 [コントロールパネル] → [Instance Settings] → [セキュリティ] → [多要素認証] → [タイムベースワンタイムパスワード設定] から、これらのオプションを設定できます。
Enabled : タイムベースワンタイムパスワードを有効にします。 タイムベースワンタイムパスワードも各ユーザーが設定する必要があることを考慮に入れてください。 設定は、[アカウント設定]の新しいセクションで行います。
Order: 要素チェッカーは特定の順序で実行され、数値が大きいほど最初に実行されます。 このチェッカーの順序を設定します。
許容時刻誤差(クロックスキュー): このチェッカーはサードパーティのサーバーと通信するため、それらのシステムクロックが同期していない可能性があります。 コードが拒否されるまでの時間をミリ秒単位で設定します。 これは、チェッカーが現在の時刻に対して検証を実行してから、さらに2つの検証(+クロックスキュー時間/-クロックスキュー時間)を実行できることを意味します。
アルゴリズムの鍵サイズ: 生成されたキーのサイズを文字数で設定します。