SecurID 認証方式

RSA Ace/SecureID 認証方式では、ACE 証明書を使用してログインするユーザを認証します。ACE 証明書にはユーザ名、PIN、TOKENCODE が含まれています。ACE ユーザ名とパスワードは ACE/Server ユーザ ストアに保存され、ACE/Server 管理者は、これらの認証情報を変更できます。SecureID トークンにより、1 回のみ使用可能な TOKENCODE が生成されます。
casso11jp
RSA Ace/SecureID 認証方式では、ACE 証明書を使用してログインするユーザを認証します。ACE 証明書にはユーザ名、PIN、TOKENCODE が含まれています。ACE ユーザ名とパスワードは ACE/Server ユーザ ストアに保存され、ACE/Server 管理者は、これらの認証情報を変更できます。SecureID トークンにより、1 回のみ使用可能な TOKENCODE が生成されます。
2
以下の SecurID ダイジェスト認証方法を使用できます。
  • SecurID 認証
    この方式は、RSA SecureID ハードウェア トークンを使用してログインするユーザを認証します。この方式では、ユーザ名およびパスワードを受け付けます。パスワードは、ユーザのトークン PIN にダイナミック コードが付いたものです。
    : Ace Server でユーザのユーザ ID にマップするには、LDAP ディレクトリ属性「uid」を使用します。そうしないと、SecurId テンプレート認証方式は、ユーザの認証に失敗します。uid 以外の LDAP ディレクトリ属性を Ace Server の userid にマッピングするときに、SecurID HTML フォームテンプレートを使用します。
  • HTML フォーム対応の SecurID 認証
    この方式には HTML フォーム サポートが含まれています。HTML フォームを使用して、ユーザは自分自身の身元を証明できます。また、PIN またはトークン情報を誤って入力したために無効になったアカウントを、再び有効にすることもできます。
RSA ACE/SecurID 方式は、ACE PIN の変更を許可されないユーザ、または
NextTokenCode
モードにないユーザを認証します。ただし、PIN を変更するユーザや、
NextTokenCode
モードにあるユーザは、HTML フォームにより RSA ACE/SecurID 方式によって認証されます。いずれの方式も ACE/Server - Ace/Agent モデルに基づいており、RSA/SecurID (トークン)と RSA/ACE (サーバ ソフトウェア)製品が必要になります。
RSA ACE/Server は RSA SecurID トークンと連携し、有効な RSA Ace/Agent を通じてユーザの識別情報を認証します。また、RSA は Web エージェントとカスタムエージェントもサポートしています。SecurID 認証方式は、カスタム Ace/Agents として機能し、ACE/SDK とライブラリを使用します。
ただし、ACE/Server は、独自のポリシーに基づいてユーザの認証情報を処理し、この情報を ACE ユーザ ストアに格納します。このポリシーには、ユーザごとの複数の要件と制限が含まれ、ACE 管理者はいつでもこれらの要件や制限を変更できます。管理者は PIN または TOKENCODE を使用して認証を行うようにユーザを設定します。PIN による認証が設定された場合には、TOKENCODE は不要です。TOKENCODE による認証が設定された場合には、TOKENCODE と PIN が必要になります。また、認証時に新しい PIN の設定を求めるようにすることもできます。この新しい PIN モードでは、以前の PIN と新しい PIN が必要になります。
ユーザを認証するために、SecureID 認証方式では ACE サーバとユーザ ストア内のユーザをマッピングする必要があります。このマッピングは、ポリシー ストアで認証方式オブジェクト属性として表されます。
HTML フォームに対応した RSA ACE/SecurID 方式の拡張は、「新しい PIN モード」に影響します。
下図は、RSA ACE/Server がどのようにポリシー サーバと対話するかを示します。
Interaction of RSA ACE Server with Policy Server
フローを以下に示します。
  1. ユーザが Web ページなどのリソースを要求します。
  2. Web エージェントがリソースが保護されているかどうかを確認します。
  3. ポリシー サーバが、要求されたリソースが HTML フォームに対応した RSA ACE/SecurID 認証方式で保護されていることを通知します。
  4. Web エージェントがユーザに認証情報を求めます。
  5. ユーザが認証情報を入力すると、エージェントからポリシー サーバに情報が送信されます。
  6. ポリシー サーバがユーザの特定を行い、ユーザ名を RSA/ACE ユーザ名にマッピングします。ポリシー サーバはパスワード ポリシーを適用しません。
  7. ポリシー サーバは一連の ACE API 呼び出しを通じて認証リクエストを ACE/Server に送信します。サーバはユーザの認証情報も ACE/Server に送信します。
  8. ACE/Server はユーザが PIN を変更する必要があることを知らせ、制御権をポリシー サーバに戻します。
  9. ポリシー サーバが制御権を Web エージェントに戻すと、Web エージェントはユーザを CGI または JSP にリダイレクトします。
  10. CGI または JSP は適切な HTML フォームを生成します。そのフォームはユーザに表示され、ユーザ名、以前の PIN、新しい PIN の入力、および新しい PIN の確認が要求されます。
  11. Web エージェントは、新しい認証情報をポリシー サーバに送ります。
  12. ポリシー サーバは再び、ACE/Server に対して一連の API 呼び出しを行います。
  13. 新しい PIN が受け入れられると、ACE API 呼び出しから成功が返されます。ここで、ユーザは新しい PIN を使用してログインするように求められ、認証プロセスは完了します。
  14. 新しい PIN が拒否されると、手順 10 から手順 12 が繰り返されます。
PIN は以下の場合に拒否される可能性があります。
  • PIN が長すぎる。
  • PIN が短すぎる。
  • PIN にアルファベット文字が含まれている。
上記の図の認証では、HTML フォームにバックエンド PIN ポリシーに関連したメッセージが表示されます。SecurID 認証方式では、新しい PIN を ACE/Server に送る前に PN ポリシー検証が実行されます。ACE SDK には、次の PIN 属性を検索できる一連の機能があります。
  • 最大長
  • 最小長
  • 英数字または数字のみ
PIN はこの情報に基づいて検証され、該当するエラー メッセージがユーザに表示されます。検証は以下の順序で行われます。
  • PIN が最大文字数を超えていない
  • PIN が最小文字数を下回らない
  • PIN には無効な文字はありません。
これらの新しいエラー メッセージでは、ポリシーの関連する部分のみがユーザに表示されます。次に新しいメッセージの例を示します。
サンプル ユーザ Joe の PIN が 5 ~ 8 文字である場合に、新しい PIN として「poem」と入力すると、以下のようなエラー メッセージが表示されます。
Your new PIN is too short. PIN must contain at least 5 character(s).
次に指定した PIN が「novel」である場合、メッセージは以下のとおりです。
Your new PIN may not have alphabetic characters.
次に指定した PIN が「123412341234」である場合、メッセージは以下のとおりです。
Your new PIN is too long. PIN must contain 8 or fewer character(s).
SecureID 認証方式で PIN の確認が完了しても、ACE/Server によって新しい PIN が拒否されることがあります。この場合には、新しい認証情報が求められますが、その理由は表示されません。また、拡張された SecurID 認証方式では、PIN の変更が正常に完了すると、ターゲット Web ページへのアクセスが自動的に許可されます。
オンデマンド認証モードで最初の試行で不正な次のトークン コードを入力して、2 回目の試行で正しいまたは不正な次のトークン コードを再入力した場合、新しい次のトークン コードが生成されます。2 回目の試行が成功した場合は、新しい次のトークン コードを無視します。2 回目の試行が失敗した場合、トークン コードのいずれかを認証に使用します。
SecurID 認証方式の前提条件
SecureID HTML フォーム認証方式を設定する前に、以下の前提条件を満たしておく必要があります。
  • Windows のポリシー サーバでは、RSA 管理者によって RSA Authentication Manager 上で ACE 設定情報ファイル(sdconf.rec、failover.dat)が生成され、windows/syswow64 ディレクトリにコピーされます。
  • UNIX のポリシー サーバでは、ACE 設定情報ファイル(sdconf.rec、failover.dat)が RSA Authentication Manager で RSA 管理者によって生成され、
    <policy server installation dir>
    \lib ディレクトリにコピーされます。さらに、VAR_ACE 変数および USR_ACE 変数が
    <policy_server installation_dir>
    /lib を指しており、ポリシー サーバが ACE エージェントではなく API ライブラリを使用できること。
  • カスタマイズした .fcc ファイルが、HTML フォーム認証を実行する cookie ドメイン内の Web エージェント サーバ上に存在すること。サンプルの .fcc ファイルは、Web エージェントをインストールした Samples/Forms サブディレクトリにあります。
  • カスタマイズされた .unauth ファイルが Web エージェント サーバ上に存在すること。
    注:
    .fcc ファイルが smerrorpage ディレクティブを使用する場合は、.unauth ファイルは不要です。
  • ポリシー サーバとユーザ ディレクトリの間にディレクトリ接続が確立されていること。
  • デフォルトの HTML フォーム ライブラリがインストールされていること。このライブラリが HTML フォーム認証を処理します。
    • Windows では SmAuthHTML.dll。
    • Solaris では smauthhtml.so。
    これらのファイルは Web エージェントの設定時に自動的にインストールされます。
RSA SecureID server 8.0 以降のバージョンの場合、認証エージェントが RSA 管理者によって RSA Authentication Manager に追加されていることを確認します。
注:
認証エージェントを追加する方法の詳細については、RSA のマニュアルを参照してください。
SecurID 認証方式の設定
SecurID 認証方式を使用して、ACE 認証情報でログインするユーザを認証できます。
注:
以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
以下の手順に従います。
  1. [インフラストラクチャ]-[認証]をクリックします。
  2. [認証方式]をクリックします。
  3. [認証方式の作成]をクリックします。
  4. [認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
  5. [OK]をクリックします。
  6. 名前および保護レベルを入力します。
  7. [認証方式のタイプ]リストから[SecurID テンプレート]を選択します。
  8. ACE ユーザ ID 属性を入力します。
  9. [サブミット]をクリックします。
    認証方式が保存され、レルムに割り当て可能になります。
SecurID HTML フォーム認証方式の設定
SecurID HTML フォームの認証方式を使用して、ACE 認証情報でログインするユーザを認証するカスタム HTML フォームを使用できます。
注:
以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
以下の手順に従います。
  1. [インフラストラクチャ]-[認証]をクリックします。
  2. [認証方式]をクリックします。
  3. [認証方式の作成]をクリックします。
  4. [認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
  5. [OK]をクリックします。
  6. 名前および保護レベルを入力します。
  7. [認証方式のタイプ]リストから[SecurID HTML フォーム テンプレート]を選択します。
  8. サーバ、ターゲットおよび ACE 属性情報を入力します。
  9. [サブミット]をクリックします。
    認証方式が保存され、レルムに割り当て可能になります。
SecurID ユーザを再アクティブ化し、確認するための SecurID HTML フォーム サポート
SecurID HTML フォーム スキームでレルムを保護する場合、ログインが不適切なために一時停止されたユーザは、カスタマイズ可能な HTML フォームをいくつか使用して、アカウントのアクティブ化を試みることができます。これらのフォームのレイアウトと文言を変更できます。ユーザ情報を収集するタグを変更しないでください。
ポリシー サーバに用意されているフォームには、以下のようなものがあります。
  • PWLogin.template
    このフォームには、ユーザがログインに使用するユーザ名とパスコードを入力します。
  • PWNextToken.template
    このテンプレートでは、ユーザが有効な SecurID トークンを所有していることを確認するために、複数のトークンコードが要求されます。
新しいユーザ アカウントをアクティブにするための SecurID HML フォーム サポート
管理者がユーザ アカウントを作成し、そのユーザがログインするときに、ポリシー サーバは以下のフォームを使用します。フォームを使用して、ユーザは PIN を作成するか、またはポリシー サーバにランダムな PIN を生成させます。
  • PWSystemPIN.template
    新規ユーザや、無効なログインを何度も繰り返したためにアカウントを一時停止されたユーザに対し、このテンプレートはユーザに新しい PIN の取得を求めるプロンプトを表示します。このテンプレートでは、元のユーザ名とパスコードを使用できますが、保護されたリソースへのアクセス権が付与されるのではなく、ユーザは別のフォームにリダイレクトされます。そのフォームで、ユーザは新しい PIN を受け入れるか、作成することができます。
  • PWNewPINSelect.template
    このテンプレートでは、システムで新しい PIN を生成するか、ユーザ自身が新しい PIN を入力するかを、ユーザが指定できます。
  • PWUserPIN.template
    このテンプレートでは、ユーザが新しい PIN を入力できます。ユーザは、有効なユーザ名とパスワード、および新しい PIN を提供する必要があります。このテンプレートの $USRMSG$ は、PIN 番号の作成手順に置き換わります。以下に例を示します。
    PIN の長さは 4 ~ 8 文字で指定してください。
  • PWPINAccept.template
    このテンプレートは、システム生成の新しい PIN が作成されたことを示します。このテンプレートでは、システムが生成した PIN によって $USRMSG$ 変数が置き換わります。
    [続行]をクリックすると、新しい PIN を使用したログイン画面が表示されます。
リスク ベース認証をサポートする SecurID HTML 方式認証の設定
SecurID 用の RSA リスク ベース認証(RBA)は、ユーザ名/パスワードによるログイン操作を保持しながら、ユーザ ID のリスク ベース検証を提供します。
リスク ベース認証(RBA)をサポートする SecurID HTML フォーム認証を設定するには、ポリシー管理者およびエージェント所有者の協力が必要です。このシナリオでは、両者が実行する必要のあるすべての手順について説明します。
How to SecurID HTML Form authentication support for Risk Based Authentication
最新の RBA 統合スクリプト テンプレートがあることの確認
RBA 統合スクリプトは、RSA Authentication Manager に付属するテンプレートに基づいています。ただし、RSA はリリースとリリースの間にテンプレートを更新できるため、最新のテンプレートであることを確認します。
以下の手順に従います。
  1. RSA Authentication Manager サーバに付属する統合スクリプト テンプレートを見つけます。
  2. サーバに統合スクリプト テンプレートがない場合は、手順 1 でダウンロードしたテンプレートをインストールします。それ以外の方法では、テンプレートのヘッダを比較し、どちらか最新のテンプレートをインストールします。
カスタム RBA 統合スクリプトの生成
エージェントで展開するカスタム RBA 統合スクリプトを生成するには、RSA セキュリティ コンソールを使用します。
以下の手順に従います。
  1. RSA セキュリティ コンソールにログインし、1 つ以上のエージェントに対して RBA を有効にします。
  2. エージェントがユーザを認証するために使用するプライマリ検証方法を選択します(RSA SecurID または修正されたパスコード)。
  3. スクリプトを生成して一時ディレクトリにダウンロードするには、
    CA Single Sign-on
    テンプレートを選択します。
展開を行うエージェント所有者にカスタム RBA 統合スクリプトを渡す
RSA セキュリティ コンソールで生成したカスタム RBA 統合スクリプトは、RBA をサポートする Web サーバごとに展開する必要があります。
各エージェント所有者にカスタム RBA 統合スクリプトを提供し、その展開方法を通知します。
エージェント所有者がカスタム RBA 統合スクリプトを各 Web サーバ上に展開する
RBA をサポートする各 Web サーバに、ポリシー管理者によって提供されたカスタム
Single Sign-On
RBA 統合スクリプトを展開します。
以下の手順に従います。
  1. エージェント ホストにログインし、デフォルトの RSA SecurID ログイン テンプレート(smpwservices.fcc)を見つけます。テンプレートは、エージェント ルートから相対の /siteminderagent/forms/ ディレクトリに置かれています。
  2. テキスト エディタで smpwservices.fcc を開き、一番下の </body> タグの直前に以下の 2 行を追加し、そのファイルを保存します。
    <script src="am_integration.js" type="text/javascript"></script> <script>window.onload=redirectToIdP;</script>
    重要:
    編集を始める前に smpwservice.fcc のバックアップを作成し、必要に応じてそれを使用して変更を元に戻します。
  3. カスタム RBA 統合スクリプト(am_integration.js)を /siteminderagent/forms/ ディレクトリにコピーし、Web サーバを再起動します。