株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Accops > 【Accops】HySecure 7.0の動作検証をしてみた vol.3 OTP設定

【Accops】HySecure 7.0の動作検証をしてみた vol.3 OTP設定

Accops 初心者向け

皆様こんにちは!ネットワールド Accops担当です。

前回に引き続きAccops HySecureの新バージョン7.0がリリースされておりますが検証記事が少ないので今回はワンタイムパスワード(OTP)検証結果を共有したいと思います。

※前提としてVol.1とVol.2を設定済み環境とします

Vol.1のAccops HySecureインストールまではこちらから

blogs.networld.co.jp

Vol.2のAccops HySecureの設定から動作確認まではこちらから

blogs.networld.co.jp

免責事項

  • 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
  • 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
  • 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
  • 本書の利用は、利用者様の責任において行われるものとします。
  • 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。  

1. 構成図

本インストールガイドの構成図です。

検証構成図

2. Accops Workspaceアプリよりサインイン

HySecureにサインインする為、Workspace Client起動後サインインの画面になりましたら右下の証明書ログインをクリックします。

サインイン

次に証明書ログインにて証明書とパスワードを入力しログインをクリックします。

証明書ログイン

管理画面が表示されます。

管理画面

3. Accops HySecure OTP設定

Accops HySecureにサインイン後、ブラウザから設定を実施します。

 

今回は

メールアドレスにワンタイムパスワードを送信する"Email Token"方式

OTPアプリにてワンタイムパスワードを表示する"Mobile Token"方式

の2パターン設定を検証します。

3.1. SMTPサーバー設定

まずは事前準備としてSMTPサーバー連携設定を実施します。
こちらはメールOTPにも利用しますがQRコードを"Google Authenticator"等のOTPアプリにて読み込む際に、事前認証として"Active Directory"を参照し該当のユーザーのメールアドレス宛にメールを送る為に利用します。

 

管理画面から左フレームより"Settings"をクリックします。

Settings

“Messaging”をクリックします。

Messaging

“Messaging”からSMTPサーバー設定をします。

こちらは対象のSMTPサーバーにより設定が異なりますので参考までに設定例を記載します。

設定が完了しましたら”Submit”をクリックします。

 

SMTP Mail Server: SMTPサーバーIP

SMTP Server Port:  SMTPサーバーPort

Enable TLS:TLS暗号化の有無

Enable SMTP Authentication: SMTP認証の有無

SMTP Username:SMTPユーザー

SMTP Password: SMTPパスワード

Confirm Password: SMTPパスワード再入力

SMTP Email Sender: HySecureから送信時のメールアドレス

SMTP Client Hostname: ホスト名

※デフォルト設定のまま利用が推奨

 

設定例

SMTP Mail Server: 10.16.61.17

SMTP Server Port: 25

Enable TLS:チェック無

Enable SMTP Authentication: チェック

SMTP Username:hysecure

SMTP Password: パスワード

Confirm Password: パスワード再入力

SMTP Email Sender: hysecure1@demo4.local

SMTP Client Hostname: デフォルト

SMTPサーバー設定

”Submit”をクリック後、“SMTP Configuration successfully saved.”が表示されましたら”OK”をクリックします。

SMTP Configuration successfully saved

画面が“Messaging”に戻りましたらテストメールを送信します。

Messaging

"Messaging"画面下部に“Test Email Address”がありますのでこちらにテスト可能なメールアドレスを入力し”Send test mail”をクリックします。

Test Email Address

"hysecure@demo4.local"設定例

hysecure@demo4.local設定例

“Test email successfully sent”が表示されましたら正常に送信されておりますので”OK”をクリックします。

Test email successfully sent

もし” Failed to send test email.”が表示された場合はSMTPサーバー設定またはFirewallにてブロック等SMTPサーバー側に問題がありますので再度チェックします。

Failed to send test email

画面が“Messaging”に戻りましたらメール設定完了です。

Messaging

3.2. HyID設定(Email Token)

次にHyID設定を実施します。
こちらはOTP設定のメイン機能となりワンタイムパスワードをメールにて送信する” Email Token”から設定します。
※メール自体は"Active Directory"からサインインアカウント上の電子メールを参照しメール送信

Active Directoryの電子メール

左フレームの“Policies”から”HyID Polices”にて”+Add”をクリックします。

HyID Polices

"Create HyID Policy”画面から設定します。

Create HyID Policy

まずは下記を設定します。

HyID Policy Name:

HyID Policy Type:

Select priority of the Policy:

 

設定例

HyID Policy Name:OTP

HyID Policy Type:HySecure

Select priority of the Policy:1

HyID Policy設定例

次に"User Database”は下記を設定します。

User Database

Select Authentication Domain:demo4

Select Authorization Server :demo4

Select Policy assignment Type:User Groups

Select User Group:All Groups

User Database

次に"HySecure Authentication”設定

 

設定例

HySecure Authentication

Enable Two factor authentication:チェック

Select 2FA tokens

Select tokens:Email Token

HySecure Authentication

"Email and SMS OTP Configuration”についてはデフォルト設定のままで問題ありません。

Email and SMS OTP Configuration

設定が完了しましたら”Submit”をクリックします。

Submit

"HyID policy created successfully.”が表示されましたら完了となります。

HyID policy created successfully

3.3. HyID設定(Mobile Token)

次にHyID設定を実施します。

こちらはOTP設定のメイン機能となり、ワンタイムパスワードをOTPアプリにて確認する" Mobile Token”を設定します。

※途中まで"Email Token”の内容と重複します

左フレームの“Policies”から”HyID Polices”にて”+Add”をクリックします。

HyID Polices

"Create HyID Policy”画面から設定します。

Create HyID Policy

まずは下記を設定します。

HyID Policy Name:

HyID Policy Type:

Select priority of the Policy:

 

設定例

HyID Policy Name:OTP

HyID Policy Type:HySecure

Select priority of the Policy:1

HyID Policy設定例

次に"User Database”は下記を設定します。

User Database

Select Authentication Domain:demo4

Select Authorization Server :demo4

Select Policy assignment Type:User Groups

Select User Group:All Groups

User Database

次に"HySecure Authentication”設定

 

設定例

HySecure Authentication

Enable Two factor authentication:チェック

Select 2FA tokens

Select tokens:Email Token

HySecure Authentication

今回は"Mobile Token"のみにしておりますが"Email Token”と"Mobile Token"を併用したい場合、下記のように1つの"HyID Policy"に対して同時に設定が可能です。

Mobile Token/Email Token併用時

“Mobile/PC/FIDO token configuration”設定はこちらを実施します。

 

Mobile/PC/FIDO token configurationは以下を全てチェックします。

 Enable Email/SMS token for Mobile Token Registration: チェック

 Enable self-service mobile/PC token registration for users: チェック

 Allow re-activation of same device: チェック

それ以外はすべてデフォルト設定

 

こちらの設定にてアプリにて読み込む為のQRコード表示時にメールにてワンタイムパスワードが送信されよりセキュアとなります。

Mobile/PC/FIDO token configuration

"Common OTP Configuration”はデフォルトのまま利用します。

Common OTP Configuration

設定が完了しましたら”Submit”をクリックします。

Submit

"HyID policy created successfully.”が表示されましたら完了となります。

HyID policy created successfully

 

4. OTP動作確認

Workspace ClientからサインインしOTPの動作確認を実施します。

4.1. Workspace Clientからサインイン(Email Token)

まずはAccops Workspaceを起動します。
サインインの画面になりましたら右下の設定をクリックします。

サインイン

HySecure設定端末と接続端末が異なることを想定し"次にサーバーアドレスを入力してください"にHA設定にて仮想IPアドレスではない場合、設定済みの仮想IPアドレスを設定しテストと適応をクリックします。

※正常な状態であれば"サーバー接続ステータス"が"接続されています"表示となります

サーバーアドレス指定

SSLのセキュリティの警告が表示されますが”はい”をクリックします。

SSLのセキュリティの警告

サインイン画面に戻りましたらサインインを実施します。

サインイン画面

サインイン後メールトークン(OTP)画面になりますので”ワンタイムパスワードを取得”をクリックします。

メールトークン

"ワンタイムパスワードを取得”をクリック後にメールが送信されますのでそのメールから”ワンタイムパスワードの入力”にパスワードを入れ”OK”をクリックします。

ワンタイムパスワードを取得

ワンタイムパスワードのメール形式例はこちら

ワンタイムパスワードのメール形式例

OTP認証に失敗した場合はこちらが表示されます。

無効なOTP

またデフォルト設定の3回入力ミスをしますと下記画面となります。

数分待機し再度ワンタイムパスワードにてサインインします。

OTP3回入力ミス

”OK”クリック後の画面に仮想デスクトップにて設定済みのアイコンが表示されましたら成功となります。

正常サインイン時

4.2. Workspace Clientからサインイン(Mobile Token)

まずはAccops Workspaceを起動します。
サインインの画面になりましたら右下の設定をクリックします。

サインイン

同様にHySecure設定端末と接続端末が異なることを想定し"次にサーバーアドレスを入力してください"にHA設定にて仮想IPアドレスではない場合、設定済みの仮想IPアドレスを設定しテストと適応をクリックします。

※正常な状態であれば"サーバー接続ステータス"が"接続されています"表示となります

サーバーアドレス指定

SSLのセキュリティの警告が表示されますが”はい”をクリックします。

SSLのセキュリティの警告

サインイン画面に戻りましたらサインインを実施します。

サインイン画面

サインイン後モバイルトークン(OTP)画面になりますので”更に認証が必要です”が表示されます。

次に”モバイルトークン”を選択したまま”モバイルトークンを登録”をクリックします。

モバイルトークンを登録

クリック後ブラウザが起動し”モバイルトークン登録”画面となります。

こちらはQRコード表示前に”Active directory”から電子メールの情報を採取しメールを送信することで本人確認を実施します。

こちらで”送信”をクリックします。

モバイルトークン登録

"メールhy******@demo4.local. で受信したOTPを入力してください。OTPリクエストの試行回数3回が使用されました。3回中”が表示されますので”次へ”をクリックします。

表示されている該当のメールを確認します。

メールhy******@demo4.local. で受信したOTPを入力してください。

ワンタイムパスワードのメール形式例はこちら

ワンタイムパスワードのメール形式例

画面が切り替わりましてワンタイムパスワード画面となりますのでメール情報から入力し”次へ”をクリックします。

ワンタイムパスワード入力

モバイルトークン登録画面となります。

この画面のQRコードをワンタイムパスワード対応アプリにて読み込ませます。

QRコード

RFC準拠しておりますので”Google Authenticator”等でも問題ありませんが今回Accops純正である”Accops HyIDアプリ”にて確認します。

※インストールは各種アプリストアから事前に実施してください

 

まずはアプリ起動後、右下のQRコードのアイコンをクリックします。

QRコード

次にブラウザに表示されているQRコードを読み込みます。

”QRコード読取りとプロファイル登録に成功しました”が表示されましたら”OK”をクリックします。

QRコード読取りとプロファイル登録に成功しました


こちらのシークレットコードを利用しブラウザから正常登録されたか確認します。

生成されたパスワード

ブラウザに戻り”次へ”をクリックします。

次へ

"モバイルトークン登録画面”からアプリ上に表示されているワンタイムパスワードを入力し”確認”をクリックします。

モバイルトークン登録画面

"モバイルトークン登録画面”に”完了”が表示されましたら”閉じる”をクリックします。

モバイルトークン登録画面完了

再度サインインする為、アプリ起動からサインイン画面に戻りましたらサインインを実施します。

サインイン画面

サインイン後モバイルトークン(OTP)画面になりますので”更に認証が必要です”が表示されます。

次に”モバイルトークン”を選択したまま”Accops HyIDアプリ”に表示されている”ワンタイムパスワード”を入力し"OK"をクリックします。

ワンタイムパスワード入力

”OK”クリック後の画面に仮想デスクトップにて設定済みのアイコンが表示されましたら成功となります。

正常サインイン時

以上にて設定完了となります。

5. まとめ

ここまで読んでいただきありがとうございました。

今回はOTP設定からOTP認証を利用したVDI起動までとなります。

比較的簡単にOTPが利用可能ですのでぜひ試してみてください。