1. はじめに
IceWall MFAは認証プラグインを開発することにより、テクノロジーパートナー各社が提供する様々な認証方式と連携が可能です。
本レポートでは、DDS社のEVE MAとIceWall MFAの連携について、ソリューション概要、検証内容とその結果について記載します。
2. DDS EVE MAについて
Windowsログオンや各種アプリケーションに対して、多要素による AND/OR 認証を実現し、システム利用における利便性・安全性を向上します。認証要素は、生体認証(指紋、静脈、顔)、ICカード(FeliCa、MIFARE)、ワンタイムパスワード、テンポラリパスワード、独自パスワード等を用意、利用シーンによって自由に認証要素を組み合わせることが可能です。また、Active Directory とシームレスに連携することで、管理ツールを統合し、グループに対する設定などが柔軟に実施可能です。
2.1 DDS EVE MAで実現する多要素認証
●Windowsログオンでの認証
EVE MA を導入すると、Windows ログオン時やロック画面からの復帰時に、EVE MA ログオン画面が表示され指定の認証方式でのログオンが可能になります。
●業務システムでの認証(2つの方式)
- EVE MA ID マネージャー
デスクトップアプリケーションやウェブアプリケーション(Internet Explorer)へのログインを自動で行います。登録したアプリケーションの起動を自動検知し認証画面を表示、認証成功で ID・パスワードを自動送出します。
- EVE MA ActiveXコントロール
デスクトップアプリケーションやウェブアプリケーション(Internet Explorer)から、EVE MAによる認証を簡単に行うためのモジュール、EVE MA ActiveXコントロールを備えています。こちらはシステムに組み込むことで認証強化を実現します。
3. 連携ソリューション概要
IceWall MFAは認証プラグインを開発することにより、EVE MAの認証方式(指紋認証、静脈認証、顔認証、ICカード認証など)をIceWall MFAの認証として連携することが可能です。
以下にIceWall MFAで追加認証を実施する際の連携処理フロー図とその説明を記載します。
- ユーザーがIceWall MFA 未認証状態でアプリケーションにアクセスを行います。ログイン画面が表示され、ユーザーはID/PWDの入力を行い、IceWall MFAがID/PWD認証を行います。
- IceWall MFAはID/PWD認証後、追加認証画面(EVE MA Active Xコントロールを実行するコンテンツ)をユーザーに返します。
- ブラウザはEVE MA Active Xコントロールを起動し、EVE MA Agentと通してEVE MAに認証要求を行います。
- EVE MAは管理者により設定された認証方式を選択します。認証はEVE MA Active Xアプリケーションプラグインに依頼(認証実行)します。
- EVE MA Active Xアプリケーションプラグインは認証処理を実行し、認証成功時に認証情報を取得します。
- EVE MA Active Xアプリケーションプラグインは取得した認証情報に署名を行い、 EVE MA Active コントロールに情報を送信します。
- ブラウザは署名された認証情報をIceWall MFAに送信(POST)します。
- IceWall MFAの認証プラグインは署名検証を行います。署名検証に成功時、追加認証が完了します。
- ユーザーがIceWall MFA認証済み(追加認証済)状態でアプリケーションにアクセスを行います。ユーザーはアプリケーションのコンテンツにアクセスすることができます。
4. 検証
EVE MA連携用のIceWall MFA認証プラグインを作成し、下記の認証連携について動作検証を実施しました。
1)追加認証
ID/PWD認証に加えて、EVE MAの指紋認証を用いた追加認証を実施します。
2)ID識別認証
ID/PWD認証の代わりに、EVE MAのICカード認証を用いたID識別認証を実施します。
4.1追加認証
1)EVE MA設定(認証セットの作成)
本検証では、追加認証時に指紋認証を実施するように、指紋認証用の認証セットを作成します。
2)EVE MA設定(Active Xアプリケーションプラグインへの認証セットの割り当て)
Active Xアプリケーションプラグイン、指紋認証用の認証セットの割り当てを行います。
3)IceWall MFA設定(多要素認証設定)
初回はID/PWD認証、追加認証としてEVEMAの認証を行うようアクセスコントロールファイル(child.acl)の設定を行います。
※あらかじめ定義されているEVEMA用の認証プラグイン名(EVEMA)を設定します。
http(s)://<WebアプリケーションURL>/=ALL;;PW,EVEMA
4)動作確認
①アプリケーションにアクセスを行うとログイン画面が出力され、ID/PWD認証が実施されます。
②ID/PWD認証後、追加認証画面が出力され、指紋認証が実施されます。
③追加認証後、アプリケーションのコンテンツが表示されます。
結果:
EVEMA連携用認証プラグインを作成することで、EVE MAと追加認証の連携が行えることが確認できました。
4.2 ID識別認証
1)EVE MA設定(認証セットの作成)
ID識別認証はICカード認証のみ連携可能です。ICカード用の認証セットの作成を行います。
2)EVE MA設定(Active Xアプリケーションプラグインへの認証セットの割り当て)
Active XアプリケーションプラグインにICカード認証用の認証セットの割り当てを行います。
3)IceWall MFA設定(多要素認証設定)
初回はID/PWD認証、追加認証としてEVEMAの認証を行うようアクセスコントロールファイル(child.acl)の設定を行います。
※あらかじめ定義されているEVEMA用の認証プラグイン名(EVEMA)を設定します。
http(s)://<WebアプリケーションURL>/=ALL;;EVEMA
4)動作確認
①アプリケーションにアクセスを行うとICカード認証画面が出力され、ICカード認証(ID識別認証)が実施されます。
②ICカード認証(ID識別認証)後、アプリケーションのコンテンツが表示されます。
結果:
EVEMA連携用認証プラグインを作成することで、EVE MAとID識別認証の連携が行えることが確認できました。
5. まとめ
本技術レポートでは、 DDS社のEVE MAとIceWall MFAの連携について、ソリューション概要、検証内容とその結果について説明しました。
多要素認証を検討される際には本ソリューションを是非ご活用ください。
参考URL:
2017/8/14 新規掲載
執筆者 :株式会社 ディー・ディー・エス
営業本部 営業技術部 兼 販売促進部
石川 竜雄
日本ヒューレット・パッカード株式会社
テクノロジーコンサルティング事業統括 IceWallソフトウェア本部 認証コンサルティング部
佐藤 義昭