ワンタイムパスワード認証は、一定時間ごとに変化する一回限りのパスワードを用いる認証オプションです。ワンタイムパスワード認証を使用すると、ログインを試みる度に必要なパスワードが変化するため、スパイウェアやフィッシングサイトなどにより、ある時点のパスワードを第三者に盗み取られても悪用されるリスクが軽減されます。
動作概要
ワンタイムパスワード認証の種類
ワンタイムパスワード認証は運用形態に合わせて以下の方式から選択が可能です。
Google Authenticator(推奨)
Google 社が iOS / iPadOS (App Store) ならびに Android (Play ストア) で提供する、ワンタイムパスワードを生成・管理する スマートフォンアプリです。
Google Authenticator は Google アカウントを持っていなくても利用可能 です。ユーザーは Google Authenticator でワンタイムパスワードの初期設定後、表示されるワンタイムパスワードでログインします。
注意:
Google Authenticator の使用方法については、Google Authenticatorのヘルプ記事をご参照ください。
Web OTP
スマートフォンのブラウザ上に表示されるワンタイムパスワードでログインします。
ユーザーはスマートフォンのブラウザから初期設定後、そのブラウザに表示されるワンタイムパスワードでログインします。
注意:
ワンタイムパスワードの表示画面は iOS、iPadOS、Android 端末のみ利用可能です。
ワンタイムパスワードの初期設定情報は初期設定を行ったブラウザに保存されています。異なるブラウザや異なる端末ではワンタイムパスワードは表示されません。また、ワンタイムパスワードの初期設定を行ったブラウザの Cookie を 削除した場合には再度初期設定が必要になります。
メールOTP
ユーザーにメール送信される 10 分間有効なワンタイムパスワードでログインします。
この方式は初期設定は不要です。
認証方式の組み合わせ
ワンタイムパスワード認証は数ある Gluegent Gate の認証要素の一つです。そのため、認証ルール / アクセス権限ルールで他の 認証要素と組み合わせて利用することができます。以下は認証要素の組み合わせの例です。
例:人やロケーションによってワンタイムパスワードを使わせる
- 全てのユーザーはまず ID/パスワードによる認証が必要。
- 社内(指定 IP )からログインを試みるユーザー A はアクセス権限ルール rule_internal にマッチし、 rule_internal には追加の認証要素が無いため認可が与えられる。
- 社外からログインを試みるユーザー B は、指定グループに所属しているためアクセス権限ルール rule_external にマッチし、rule_external の追加認証要素であるワンタイムパスワードに成功すれば認可が与えられる。
情報:
ユーザー B が社内からログインを試みた場合は rule_internal の条件にマッチするため、rule_external のワンタイムパスワード認証は求められることなく認可が与えられます。 - 社外からログインを試みたユーザー C は指定グループにも所属しておらずどのルールにもマッチしない為、認可が与えられず連携対象サービスへのログインは拒否される。