こんにちは、VMware の井本です。
本日は、VMware Workspace ONE において最近新たにサポートされました FIDO2 認証についてご紹介したいと思います。FIDO2 認証は、ユーザー認証を行う際にパスワード情報がネットワークを流れることがないことから、非常にセキュリティが高く、また生体認証(指紋認証、顔認証など)や認証子(USBキーなど)を利用した簡単な認証方法で、かつユーザーフレンドリーという特徴もあり、昨今非常に注目されている認証方式となります。
Workspace ONE – FIDO2 認証とは
図1:FIDO2認証とは
Workspace ONE での FIDO2 認証がどのようなものなのかについては、先ほどご紹介した通り、非常に簡単な操作のため以下の動画にてご紹介させていただきます。
動画1:Windows Hello を利用した FIDO2 認証(登録)
動画2:Windows Hello を利用した FIDO2 認証(ログイン)
動画3:Yubikey を利用した FIDO2 認証(登録)
動画3:Yubikey を利用した FIDO2 認証(ログイン)
FIDO についての詳細は、FIDO Alliance(外部サイト)に詳しく紹介されているので、そちらをご参照願います。
Workspace ONE – FIDO2 認証設定方法
ここからは、VMware Workspace ONE Access での FIDO2 認証の設定方法についてご紹介します。
お手元にMicrosoft Surface などWindows Helloに対応したデバイスや、USBキー(Yubikey)と PC があれば、すぐにお試しいただけます。
※ここでの手順はあくまでも一例となります。ユースケースに合わせて詳細な設定方法はマニュアルをご確認願います。
図2:「認証方法」設定画面
1.「IDとアクセス管理」、「認証方法」の順にクリック
2.「FIDO2」の鉛筆マークをクリック
図3:「FIDO2」設定画面
1.「FIDO2 アダプタを有効にする」および「ログイン時に登録を有効にする」にチェック
2.「保存」をクリック
※「ログイン時に登録を有効にする」をチェックしないことでユーザーに登録作業をさせない設定も可能です。
図4:「IDプロバイダ」設定画面
1.「IDとアクセス管理」、「IDプロバイダ」の順にクリック
2.「IDプロバイダリスト」の画面にて、FIDO2を有効化したい「IDプロバイダ」、をクリック
3.「FIDO2」にチェック
4.「保存」をクリック
図5:「ポリシー」設定画面(登録用)
1.「IDとアクセス管理」、「ポリシー」、「デフォルトポリシーの編集」、「次へ」の順にクリックし、「構成」ページを開く
2.「ポリシールールを追加」をクリックし、上記の設定画面を開く
3.「ユーザーが FIDO2 認証子を登録しています」を「はい」にする
4.「ユーザーは次を使用して認証することができます」を「パスワード(クラウドデプロイ)」にする
5.「保存」をクリック
※「ユーザーのネットワーク範囲が次の場合」を定義することで、登録作業はオフィスネットワークにいる場合だけ許可するといった設定が可能です。(社外はログインのみで登録作業はさせない)
図6:「ポリシー」設定画面(ログイン用)
- もう1度、「ポリシールールを追加」をクリックし、上記の設定画面を開く
- 「ユーザーは次からコンテンツにアクセスしています」を「<ログインに利用するデバイス>」を指定します。(ここでは、Windows 10を選択している。)
- 「ユーザーは次を使用して認証することができます」を「FIDO2」にする
- 「保存」をクリック
図7:「ポリシー」構成画面
- FIDO2 の設定に関しては、上記の順で表示されることを確認し、「次へ」、「保存」の順でクリックし、ポリシーの編集を完了する
上記の手順にて設定作業は完了です。あとは、冒頭の動画の手順にしたがって、登録とログインを行っていただくことで、簡単に動作確認していただくことが可能です。
いかがでしたでしょうか?FIDO2 認証を利用することで、ユーザーフレンドリーな認証の実現およびセキュアなアクセスが実現できることがご確認いただけたかと思います。
最後まで読んでいただきありがとうございました。
