多要素認証の使用
インストールのセキュリティを強化するには、基本認証、ダイジェスト認証、WebDAVなど、安全性の低い一要素形式の認証を無効にする必要があります。 これは、 認証検証を構成することによって実現できます。 WebDAVを無効にすると、使用している機能も無効になるので注意が必要です。
- デスクトップコンピュータを介したドキュメントとメディアへのアクセス
- デスクトップコンピューターを介したWebコンテンツへのアクセス
多要素認証の設定を開始する準備はできましたか? 最初に処理するいくつかの前提条件があります。
前提条件
多要素認証を有効にすることは、デフォルトのワンタイムパスワード要素を有効にすることを意味します。 OTP要素では、ワンタイムパスワードをメールでユーザーに送信するため、サーバー上のメール設定が機能している必要があります。 サーバーがメールを送信できない状態でMFAを有効にすると、自分自身と他のすべての人がシステムからロックされます。
もう1つの前提条件は、MFAを有効にする前にユーザーと通信し、プロファイル内のメールアドレスが正しく最新であることを確認するようにしてもらうことです。 MFAを有効にする場合は、システムにアクセスするためのワンタイムパスワードを受信できる必要があります。
これらの前提条件が整ったら、多要素認証を有効にする準備が整います。
多要素認証の有効化
デフォルトでは、多要素認証は利用可能で、システムレベルで有効になっています。 [コントロールパネル] → [システム設定] → [セキュリティ] → [多要素認証]に移動して、システム全体で無効にできます。 MFAの使用を防ぐ最も簡単な方法は、ここでMFAを無効にすることです。
デフォルトの状態では、システム全体で有効になっていますが、デフォルトのインスタンスでは 無効になっています。 事実上、これはデフォルトのLiferay DXPインストールでMFAが無効になっていることを意味します。 有効にするための手順は2つだけです。
-
コントロール パネル → インスタンス設定 → セキュリティ → 多要素認証 → 多要素認証と電子メールのワンタイム パスワード構成に移動します。
-
[Enabled]ボックスにチェックを入れ、一番下までスクロールして、[アップデート]ボタンをクリックします。
次の画面のオプションでは、メールワンタイムパスワードの要素を構成します。
Order: 複数の要素を有効にする場合は、最初に実行する要素、2番目に実行する要素などを決定する必要があります。 メールワンタイムパスワードチェッカーの順序を設定します。大きい数値が最初に実行されます。
ワンタイムパスワードの長さ: ワンタイムパスワードの文字数を設定します。
メール再送信のタイムアウト: ユーザーが別のワンタイムパスワードを要求できるようになるまでに経過する必要がある秒数を設定します。
メール「From」フィールド用テンプレート: OTPを含むメールのfrom:フィールドの計算方法を設定します。 デフォルトでは、omni-adminユーザーのメールアドレスを取得しますが、ここに任意の有効なメールアドレスを配置できます。
メールの送信者名: メールの送信者の名前を設定します。 デフォルトでは、omni-adminの名前が使用されます。
メール「Body」フィールド用テンプレート: ここでOTPを含むメールメッセージの本文をカスタマイズします。
Set the number of allowed failed attempts: ワンタイムパスワードの確認をユーザーが試行できる回数を設定します。 デフォルト値の-1は、タイムアウトなしで無制限の試行を許可します。
再試行タイムアウト: ワンタイムパスワードを確認するための再試行を、この時間(秒)だけ遅らせます。 デフォルト値の-1は、再試行タイムアウトを無効にします。
MFAを使用してログインする
多要素認証を有効にすると、サインインウィジェットの動作が異なります。 ユーザーがパスワードを入力すると、ワンタイムパスワードを生成するように求められます。
ボタンをクリックすると、カウントダウンが始まります(上記の[メール再送信のタイムアウト])。 ユーザーは、メールからワンタイムパスワードを取得してフィールドに入力し、時間切れになる前に[Submit]をクリックします。 これを行うと、認証されます。
さらなる設定
すぐに使用できる、他の2つの認証要素が含まれており、独自の認証要素を開発するための拡張ポイントがあります。