多要素認証基盤 HPE IceWall MFA
製品機能・諸元
機能
1.ID/パスワードだけでなく 様々な認証方式を低コストで利用可能
-
FIDO2
各種デバイス標準の生体認証やセキュリティキーと連携し、パスワードレス認証や、その他の認証方式と組み合わせた多要素認証を実現します。次世代認証の標準規格であるFIDO(Fast IDentity Online)の最新版FIDO2およびW3C Web Authentication (WebAuthn)に対応しています。
あらかじめ暗号化されたキーがインストールされた端末からのアクセスのみ認証することで、ユーザーの利用端末を限定します -
統合Windows認証
Windows端末にドメインアカウントでログオンしたら、IceWall MFAでのID/パスワード入力を省略できる機能です。
-
ワンタイムパスワード
登録済みのソフトウェアトークンが生成する一時的なパスワードで、より強固な本人確認を行う認証方法です。ワンタイムパスワードの標準規格であるOATHに対応した仕様を採用しています。
-
メールOTP
登録済みのメールアドレスに送付されたワンタイムパスワードを入力することで、本人確認を行う認証方式です。
トークンの購入・配布や鍵登録などが不要のため、より低コストでの導入・運用が可能です。 -
SMS OTP
登録済みの電話番号宛にSMS(ショートメッセージサービス)で送付された、一時的なパスワードで認証する方式です。
※サポートするSMS送信サービスとして、Twilio Japan合同会社が提供するサービスの契約が別途必要です。 -
クライアント証明書
ブラウザにインストールしたクライアント証明書を利用し本人確認を行う機能です。
-
SAML認証(SAML SP)
IDaaSやSAML IdP化した3rdパーティーの認証方式を、IceWall MFAの1認証方式として追加することができます。
-
OIDC認証(OIDC RP)
OIDC認証をその他の認証方式(パスワード認証やOTP認証等)と同列にIceWall MFAの一認証方式として使うことができます。
-
PUSH認証
登録済みのスマートフォン又はタブレット宛に送付されたプッシュ通知を承認することで認証する方式です。
-
その他
マトリクス方式、指静脈、指紋、ICカード等を使用した認証方式にも対応可能です。
また認証プラグインモジュールの追加により、その他個別の認証方式にも対応可能です。
2.認証方式を各種条件によって動的に決定
認証ポリシーの設定に従って、認証方式が動的に決定されます。
複数の方式の中からユーザーが選択することも可能です。
3.認証方式や要素数をアクセス元/アクセス先に応じて変更
アクセス元(社内/社外)によって認証方式を変える事ができます。
ポリシー設定に従って、アクセス先に対する認証方式や認証の要素の数を変える事ができます。
4.特定コンテンツアクセス時の追加認証
アクセス先のコンテンツに応じて異なる認証ポリシーを設定した場合、二段階目以降の認証が設定されたコンテンツにアクセスした際に追加の認証が求められます。
5.ブラウザートークン機能
ある端末から初めてIceWallにアクセスする際は、ワンタイムパスワードやFIDOなど、ID/パスワードとは別に二段階認証を求められますが、一度ある端末で二段階認証を行えば、その端末のWebブラウザーからの利用では二段階認証を求めず、ID/パスワードのみで利用できるようになります。
他のID識別認証(ID/パスワード、統合Windows認証、クライアント証明書のいずれか)と組み合わせて利用し、二段階認証(ワンタイムパスワードやFIDO)を代替します。
6.シングルサインオン機能
SSO(シングルサインオン)機能によって、1回のログインで複数のWebアプリやクラウドサービスにアクセスする事ができます。
クライアントからのアクセス要求を、Webアプリケーションサーバに代わって受け付けます。リバースプロキシによってフロントエンドで一括フィルタリングを行なう事ができ、かつパフォーマンスの劣化も最小限に抑えることが可能です。
さらにIceWall MFAのプロキシモジュールはHTTP攻撃(SQLインジェクション、クロスサイトスクリプティング、バッファオーバーフロー)への対策機能も持っているため非常にセキュアなシステムを構築可能です。
システム構成
IceWall MFAのシステムは、各サーバー/モジュールから構成されます。
※ IceWallの各モジュール・サーバーは別々の筐体(OS環境)に負荷分散する事が可能です。