前回の Part 1 に続いて、RSA SecurID との連携による VMware Horizon 6 の二要素認証に関するエントリーです。Part 2 では、VMware View における二要素認証の実装例や設定方法、仮想デスクトップへのログイン時の動作について紹介します。
VMware View と RSA SecurID を連携すると、仮想デスクトップへのログイン時に二要素認証を要求することができます。通常はドメインパスワードのみで仮想デスクトップにログインしますが、さらに RSA SecurID の PIN コードとワンタイムパスワードを要求することで仮想デスクトップのセキュリティを向上することが可能です。
例えば以下の図のように、社外からインターネット経由でアクセスするユーザに対しては RSA SecurID による二要素認証を要求し、社内の LAN 環境からアクセスするユーザに対してはドメインパスワードのみ要求するといった実装が可能です。つまり、仮想デスクトップへのアクセス経路に基づいて認証方法を構成することができます。
RSA SecurID を使った二要素認証を構成する方法は、非常に簡単です。VMware View では、仮想デスクトップとユーザ端末を接続する Connection Server で二要素認証を設定します。実際の設定箇所は、以下の図で示されている部分のみです。「高度な認証」という箇所で二要素認証を有効化し、認証方法として RSA SecurID を指定しています。この設定は Connection Server 単位の設定になるため、前述した実装例のようにアクセス経路によって認証方法を分ける場合は、認証方法が異なる Connection Server をそれぞれ構築する必要があります。
二要素認証を構成すると、仮想デスクトップへのログイン時に RSA SecurID の PIN コードとワンタイムパスワードが要求されます。PIN コードが設定されていない場合は、初回接続時に PIN コードを設定します。PIN コードとワンタイムパスワードを入力すると、続いてドメインパスワードが要求されます。ドメインパスワードを入力すると、最終的にログインが完了して仮想デスクトップやアプリケーションの一覧が表示されます。
ログインで使用するワンタイムパスワードは一定時間ごとに変化するため、ログイン時に二要素認証を要求することで仮想デスクトップのセキュリティ強度が向上します。特に、社外からのアクセスを伴うような場合にお薦めです。
なお、RSA SecurID と連携できる製品は VMware View だけではありません。Horizon 6 に含まれている VMware Workspace Portal も RSA SecurID と連携することで二要素認証を構成できます。具体的な構成イメージや設定方法については、末尾のスライドをご参照ください。
