12/06/2013

Windows Azure Active Directory 多要素認証プロバイダーとディレクトリの連携

 

はじめに

今年ももうすぐ終わりですね。今回はWindows Azure Advent Calender 2013に参加した投稿となっています。

 

Windows Azure Active Directory多要素認証プロバイダーとディレクトリ

以前、Windows Azure Active Directory多要素認証プロバイダーの電話メッセージを紹介しました。当時は、プレビューでしたので、Multi-Factor Authentication Serverによるオンプレミス側のWindows Severと、クラウド側の多要素認証プロバイダの連携しかできませんでした。現在はクラウド側の多要素認証プロバイダーとディレクトリの連携も可能になっていますので、本投稿ではそちらを紹介します。

 

structure

 

ディレクトリと多要素認証プロバイダーのリンク設定

ディレクトリと多要素認証プロバイダーのリンクは、ポータルのActive Directory内の多要素認証プロバイダーか、ディレクトリの、どちらかの設定から行います。

 

多要素認証プロバイダーから設定は、多要素認証プロバイダーを作成する時に設定します。

01

 

ディレクトリから設定は、Enable Multi-Factor Authenticationから設定を行います。

03

 

ユーザ設定

Active Directoryのディレクトリのユーザからユーザを作成します。多要素認証プロバイダーとディレクトリのリンクにより、ユーザのロールがUserでも多要素認証できるようになりました。(多要素認証プロバイダーが提供されていなかった時は、ディレクトリ内で多要素認証の設定が可能でしたが、管理者である必要がありました)

04

電話メッセージを利用しますので、電話番号を設定します。

05

 

アプリケーションの準備

Office365など利用している人はそちらを利用することができますが、Windows Azure Active Directoryを使用したWebアプリケーションを作成することができます。興味がある方は、以下のURLを参考にしてください。(スライドですいません。。。。)

 

Windows Azure Active Directoryを利用したアプリケーション

http://kentablog.cluscore.com/2013/04/windows-azure-active-directory.html

 

アプリケーションを登録すると以下のようなディレクトリの画面になります。以下の画面では3つのテスト用アプリが登録されています。

13

 

動作確認

登録しているWebアプリケーションにアクセスすると、以下のようなログイン画面が表示されます。ユーザ名とパスワードを入力した後に、電話がかかってきます。

なお、電話番号が設定されたいない場合や初めてログインする時に、電話番号の入力と確認が行われる場合があります。

06

ユーザ名とパスワードが正しい場合は、電話を呼びます。

07

そして、登録した電話に、海外(US)からの呼び出しがきます。

photo 1

メッセージに従って#(デフォルト設定)を押します。

photo 2

#を押した後、ログイン画面から、Webアプリケーションにリダイレクトされてアプリケーションが表示されます。

 

電話メッセージをカスタマイズ

多要素認証プロバイダーの管理画面では、電話メッセージをカスタマイズすることができます。認証に成功した場合に、好きなMP3の音声メッセージを再生するなど条件の設定ができます。

 

音声ファイルの登録

多要素認証プロバイダ管理画面の左メニューのConfigure Voice MessageのManage Sound Fileより 、音声ファイルをアップロードして登録します。

08

09

10

11

12

音声ファイルの登録が完了しました。

 

登録した音声ファイルで認証するアプリケーションの設定

多要素認証プロバイダ管理画面の左メニューのConfigure Voice Messageより、登録した音声ファイルを再生する条件の設定をします。

ここで入力するアプリケーション名は、以前紹介したMulti-Factor Authentication Serverと異なり、”SAS Login"という固定の名前になります。ディレクトリで登録したアプリケーション名ではないので注意が必要です。(ディレクトリで登録したアプリケーション名が使えると便利なのですが、残念です)

次に条件としてMessage Typeを”Authentication Successfulに設定します。これにより認証成功時に指定した音声ファイルが再生されます。

22

登録を確認します。

23

 

認証レポートの確認

認証レポートは、多要素認証管理画面から確認することができます。左メニューのView a ReportのUsageを選択します。

24

Queuedを選択した後に、Usage Authentication User Detailsを選択します。

25

多要素認証のログが確認できます。

26

 

さいごに

多要素認証プロバイダーとディレクトリをリンクした時の雰囲気を感じていただけたらと思います。それではまたー。