こんにちは、マーケティング担当の山本です。最近はリモートワークで1日の合計歩数が激減しているので、家の中でもできる運動を取り入れました。
OneLoginでは、昨年8月からWebAuthnをMFA(Multi Factor Authentication, 多要素認証)として使用できるようになりました。まだ対応していないブラウザもありますが、例えばTouch IDが搭載されたmacであれば指紋一つでMFAを認証できとても便利です。運用も踏まえた設定方法をご紹介します。
デモ
実際のログイン画面です。とてもスムーズ!
必要なもの
- OneLoginアカウント
- Starter, Enterprise, Unlimitedどれでも使えますが、WebAuthn機能のアクティベートが必要です。
- WebAuthn対応端末
- macOS: TouchID対応端末
- Windows: Windows Hello対応端末
- WebAuthn対応デバイス(Yubikey等のセキュリティキー)
機能アクティベートについて
ペンティオよりOneLoginをご契約のお客様は、こちらのフォームから機能アクティベートの申請が可能です。 docs.google.com
MFA設定方法
管理者の設定
OneLoginの管理者画面からSecurity > Authentication Factorsを選択し、New Auth Factorをクリックして新しくMFAを追加します。
中段左のWebAuthnを選択し、名前を入力して保存します。
続いて、ユーザーポリシーの設定画面です。MFAタブのOne-time passwords項目で「OTP Required」にチェックをいれ、先ほど追加した「WebAuthn」にチェックを入れます。ここでは「OneLogin Protect」にもチェックを入れていますが、理由は後述します。
エンドユーザーにポリシーを割り当てたら管理者の設定は完了です。
エンドユーザーの設定
エンドユーザーは、初回ログイン時にMFAを設定します。
ID、パスワードを入力すると、このような画面になります。「セットアップを始める」を選択します。
認証器を追加します。ChromeでTouch IDを追加する場合は、一番下の内蔵センサーを選択し、Touch IDで認証します。
WebAuthnの認証が通ればログインが完了します。
まとめ・運用のコツ
OneLoginのMFAでWebAuthnを使う方法を説明しました。
WebAuthnに対応していないブラウザ(Safari等)では、WebAuthnを使ったログインができません。代わりのMFAを設定しておくことで、メインの端末以外からでもMFAを使ってログインすることができます。
内蔵センサでWebAuthnが使える端末が多いユーザーは設定してみるとログインがより楽になると思います。
