Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定(1)

今日もADFSの多要素認証の話です。
多要素認証って何?という話からもう一度おさらいすることにしましょう。

ADFSの多要素認証を利用すると、
ユーザー名とパスワードを使って様々なサービスにアクセスする方法から

image

ユーザー名とパスワードにプラスして、様々な要素を認証時に組み合わせることができるという話をここまでの投稿の中で紹介させていただきました。そうすれば、ユーザー名とパスワードという知っていれば誰でも「なりすまし」が可能な状態から、より安全にクラウドのサービスが利用できるようになるということをお伝えしてきました。

image

上の図にもあるように、ADFSで多要素認証を利用する際、デフォルトでは証明書認証だけが利用可能であることをこれまでに紹介しました。そして、前回はVisual Studioを使ってカスタムの多要素認証を設定する方法を紹介しました。

image

しかし、作りこむのが面倒だという方には、クラウドのサービスと組み合わせてADFSの多要素認証を実装する方法があります。

Windows Azureでは、多要素認証の部分だけを切り出してクラウドのサービスとして提供しており(このサービスをWindows Azure Multi-Factor Authenticationと呼びます)、Windows Azure Multi-Factor Authenticationを利用することで、ADFSに簡単に多彩な多要素認証設定を実装することができます。

image

Windows Azure Multi-Factor Authenticationでは電話を使った認証やPIN番号を使った認証など、様々な認証方法をサポートしていますが、今回は電話の自動音声案内による認証を試してみたいと思います。

Windows Azure側の設定

Windows Azureのポータルサイトに移動し、[新規]からWindows Azure Active Directoryのドメインを新規作成します。
Windows AzureのポータルサイトにWindows Azure Active Directoryのドメインを新規作成または既存のドメインを登録する方法については、SEの雑記さん(いつもお世話になっております。)の「
Azure のサブスクリプションを起点として Windows Azure Active Directory のディレクトリ同期を設定」を参考にしていただくと良いと思います。

image

登録が完了したら、続いてポータルサイトから[多要素認証プロバイダー]をクリックし、

image

[新規]から前の手順で登録したWindows Azure Active Directoryのドメインを登録します。
多要素認証は
有料のサービスであり、ユーザーごと、もしくは認証ごとの課金です。どちらの方法での課金にするか、を[使用モデル]欄で設定します。また、[ディレクトリ]欄では前の手順で登録したドメインを指定します。

image

登録したドメインを選択し、[管理]をクリックすると、

image

新しいウィンドウが開き、多要素認証のツールをダウンロードすることができます。

image

ダウンロードリンクからツールをダウンロードします。また、[アクティブ化資格情報の生成]をクリックして表示されるユーザー名とパスワードを控えておいてください。(ツールのインストール時に必要となります)

image

Windows Azure Multi-Factor Authentication Serverツールのインストール

続いてダウンロードしたツールをADFSサーバーにインストールします。
ツールを実行して、ウィザードに沿って進めていきます。

image

FS-MFA066

FS-MFA067

アクティブ化設定では、前の手順で控えておいたユーザー名とパスワードを入力します。

image

image

FS-MFA070

この後、サービスの登録画面が出てくるのですが、ADFSを使う場合、サービスの登録を必ずしもウィザードから行う必要はありません。そのため、ひとまずここまでの手順でインストールは終了です。ウィザードは[キャンセル]をクリックして終えてください。

Multi-Factor Authentication Serverを起動すると、このような画面が表示されます。
続く手順はADFSサーバーとの関連付けです。
左ペインから[ADFS]をクリックし、[ADFSアダプターのインストール]をクリックします。

FS-MFA071

FS-MFA072

FS-MFA073 

FS-MFA074

FS-MFA075

ここまでの手順が完了したら、ADFSサーバーのPowerShellでc:Program FilesMulti-Factor Authentication ServerRegister-MultiFactorAuthenticationAdfsAdapter.ps1を実行し、ADFSサービスを再起動(restart-service adfssrv)します。

ADFSの管理ツールから[認証ポリシー]-[多要素認証]の編集をクリックすると、ご覧のようにWindowsAzureMultiFactorAuthenticationという名前の多要素認証プロバイダーが追加されたことが確認できます。
チェックをつけて、このADFSサーバーでWindowsAzureMultiFactorAuthenticationが利用できるようにしておきましょう。

image

一方、Windows Azureのポータルサイトでは、登録したADFSサーバーの情報を[サーバーの状態]から確認することができます。

image

次回は、多要素認証を利用するユーザーやサービスの登録方法について確認します。