多要素認証の使用
対応可能:Liferay DXP 7.3以降
多要素認証(MFA)は、ユーザーに複数の方法または 要素 で身分を証明するように要求することにより、セキュリティを向上させます。 基本的なユーザー名とパスワードの組み合わせに、さらに1つまたは複数の設定可能な要素を追加します。 これには、デフォルトのワンタイムパスワード(OTP)とカスタマイズ可能なIPアドレス、時間ベースのOTPが含まれています。また、システムに拡張性があるため、ユーザーが書きたい要素も使用できます。
インストールのセキュリティを強化するには、基本認証、ダイジェスト認証、WebDAVなど、安全性の低い一要素形式の認証を無効にする必要があります。 これを行うには、Authentication Verifierを設定します。 WebDAVを無効にすると、使用している機能も無効になるので注意が必要です。
- デスクトップコンピュータを介したドキュメントとメディアへのアクセス
- デスクトップコンピューターを介したWebコンテンツへのアクセス
多要素認証の設定を開始する準備はできましたか? 最初に処理するいくつかの前提条件があります。
前提条件
多要素認証を有効にすることは、デフォルトのワンタイムパスワード要素を有効にすることを意味します。 OTP要素では、ワンタイムパスワードをメールでユーザーに送信するため、サーバー上のメール設定が機能している必要があります。 サーバーがメールを送信できない状態でMFAを有効にすると、自分自身と他のすべての人がシステムからロックされます。
もう1つの前提条件は、MFAを有効にする前にユーザーと通信し、プロファイル内のメールアドレスが正しく最新であることを確認するようにしてもらうことです。 MFAを有効にする場合は、システムにアクセスするためのワンタイムパスワードを受信できる必要があります。
これらの前提条件が整ったら、多要素認証を有効にする準備が整います。
多要素認証の有効化
デフォルトでは、多要素認証は 利用可能 で、システムレベルで有効になっています。 [コントロールパネル] → [システム設定] → [セキュリティ] → [多要素認証]に移動して、システム全体で無効にできます。 MFAの使用を防ぐ最も簡単な方法は、ここでMFAを無効にすることです。
デフォルトの状態では、システム全体で有効になっていますが、デフォルトのインスタンスでは 無効 になっています。 事実上、これはデフォルトのLiferay DXPインストールでMFAが無効になっていることを意味します。 有効にするための手順は2つだけです。
-
[コントロールパネル] → [Instance Settings] → [セキュリティ] → [多要素認証] → [多要素認証: メールワンタイムパスワード設定] に移動します。
-
[Enabled] にチェックを入れ、一番下までスクロールして、 [アップデート] ボタンをクリックします。
次の画面のオプションでは、メールワンタイムパスワードの要素を構成します。
Order: 複数の要素を有効にする場合は、最初に実行する要素、2番目に実行する要素などを決定する必要があります。 メールワンタイムパスワードチェッカーの順序を設定します。大きい数値が最初に実行されます。
ワンタイムパスワードの長さ: ワンタイムパスワードの文字数を設定します。
メール再送信のタイムアウト: ユーザーが別のワンタイムパスワードを要求できるようになるまでに経過する必要がある秒数を設定します。
メール「From」フィールド用テンプレート: OTPを含むメールの from: フィールドの計算方法を設定します。 デフォルトでは、omni-adminユーザーのメールアドレスを取得しますが、ここに任意の有効なメールアドレスを配置できます。
名前からメール: メール送信者の名前を設定します。 デフォルトでは、omni-adminの名前が使用されます。
メール「Body」フィールド用テンプレート: ここでOTPを含むメールメッセージの本文をカスタマイズします。
Set the number of allowed failed attempts: ワンタイムパスワードの確認をユーザーが試行できる回数を設定します。 デフォルト値の-1
は、タイムアウトなしで無制限の試行を許可します。
再試行タイムアウト: ワンタイムパスワードを確認するための再試行を、この時間(秒)だけ遅らせます。 デフォルト値の-1
は、再試行タイムアウトを無効にします。
MFAを使用してログインする
多要素認証を有効にすると、サインインウィジェットの動作が異なります。 ユーザーがパスワードを入力すると、ワンタイムパスワードを生成するように求められます。
ボタンをクリックすると、カウントダウンが始まります(上記の[メール再送信のタイムアウト])。 ユーザーは、メールからワンタイムパスワードを取得してフィールドに入力し、時間切れになる前に [Submit] をクリックします。 これを行うと、認証されます。
さらなる設定
すぐに使用できる、他の2つの認証要素が含まれており、独自の認証要素を開発するための拡張ポイントがあります。