[本書について] [表示画面] [商標および免責事項] 本製品は医療機器、原子力施設、航空関連機器、軍備機器、輸送設備やその他人命に直接関わる施設や設備など、高い安全性が要求される用途での使用は意図されていません。該当する施設や設備には使用しないでください。 [版権/注意] 本書の内容は万全を期して作成しておりますが、万一ご不明な点や誤り、記載漏れなどお気づきの点がございましたら、弊社までご連絡ください。 |
目次
2.4 既存のPassClip認証ポリシーユーザのログインプロテクト有効化
3.3 PassLogic for Windows Desktop
1 はじめに
1.1 運用管理ガイド(ログインプロテクト)について
運用管理ガイド(ログインプロテクト)は、PassLogic管理ツールを操作する管理者を対象として、ログインプロテクト機能の運用について書かれています。
本ガイドは、他の運用管理ガイドを補足するもので、他の運用管理ガイドを理解している事を前提としています。
本ガイドは以下の3章から構成されています。
章 |
項目名 |
主な内容 |
1 |
はじめに |
本ガイドとログインプロテクトに関する基本的な情報 |
2 |
ログインプロテクトの使用準備 |
ログインプロテクト機能を使用する準備/設定など |
3 |
ログインプロテクトの使用 |
ログインプロテクト機能の使用方法など |
ソフトウェアトークンである「PassClip L」は、2024年9月24日以降App Store若しくはGoogle Playからダウンロード及びアップデートした場合、名称が「PassLogic Authenticator」に変更されました。
本マニュアル内では「PassClip」及び「PassClip L」と表記されている部分がございますが、適宜読み替えていただけますようお願いいたします。
※認証サーバ側の名称変更は、今後進めていく予定です。
1.2 ログインプロテクトの概要
ログインプロテクトは、PassLogic認証およびPassClip認証において、ログインフォームがパスワードを受け付けるタイミングを、利用者自身の判断で制御する機能です。
利用者がログインフォームを使わない時には、どのようなパスワードが送られてきても、パスワードの正誤判定をせずに、ログイン処理を中断します。
利用者がログインフォームを使う時は、PassClip Lアプリを立ち上げてワンタップするだけでログインプロテクトが解除され、PassLogic認証サーバが認証要求を受け付けられる状態になり、普段通りにログインできるようになります。
また、ログインプロテクトを解除してから1分が経過するかパスワードを入力すると、オートロックシステムのように、自動的にログインプロテクトによる保護が再開します。
1.3 ログインプロテクトの構成
ログインプロテクト機能は幾つかの要素によって構成されています。
PassClip Lアプリ
PassClip認証のトークンを表示するソフトウェアトークンアプリで、ログインプロテクトの解除もPassClip Lアプリで実施します。
ログインプロテクトを有効とした場合、デフォルトではPassClip Lのスロットを開いたと同時に、ログインプロテクトの解除も実施します。
(アプリの設定により、スロットを開いた後に別途手動で解除を実施する事も可能です。)
PassLogic認証でログインプロテクトを有効にした場合は、ログインプロテクト解除専用のスロットになります。スロット名は「LoginProtect」固定です。
ログインプロテクト機能を利用する場合は、PassClip L Ver1.5.1以降を使用してください。
ログインプロテクトサーバ
ログインプロテクトの状態を管理するサーバで、パスロジ社よりサービスとして提供されます。
ログインプロテクトサーバは、PassClip Lアプリから通知されたログインプロテクト解除情報を1分間又はパスワードを入力するまで保持します。
PassLogicサーバ
PassLogic認証及びPassClip認証でログインプロテクトが有効なユーザの場合、ログインプロテクトが解除されているかどうかをログインプロテクトサーバに問い合わせ、ログインプロテクトが解除されている場合のみ、認証を実施します。
また、PassLogic for Windows Desktopをご利用の場合は、Ver2.0.2以降を使用してください。
サービスID
ログインプロテクトの有効範囲を規定するIDです。
ログインプロテクト利用申請後に、パスロジ社から発行されます。
PassLogicの認証ポリシー毎、又は複数の認証ポリシーで共通のサービスIDを使用する事が可能です。
2 ログインプロテクトの使用準備
2.1 事前準備
ログインプロテクト機能を使用する場合には、事前に以下の準備が必要です。
【ログインプロテクトサービスの申し込み】
□ ログインプロテクトサーバの使用を開始する為、ログインプロテクトサービスの申し込みが必要となります。
□ 申し込みは販売代理店等を通じ、申込書をお送りください。
□ 申込書の記入の際に「ログインプロテクト希望組織ID」をご指定いただく必要があります。
□ 申込書のURL:https://passlogic.jp/doc/material/passLogic_cloud_application.zip
- ログインプロテクト希望組織
ログインプロテクトサービス内でのお客様の区別に使用します。また、ログインプロテクトAPIサーバURLの一部となります。
なお、PassLogicクラウド版のテナントとは別な取り扱いとなります。
組織IDは以下の文字が使用可能です。
文字数:3文字以上32文字以下
使用可能文字:半角英数字(a~z、0~9)、-(ハイフン)となります。
ログインプロテクトサービスの準備ができましたら、下記の情報をお送りします。
- ログインプロテクトAPIサーバURL
- サービスIDは16桁の半角英数字の他、”-@._”になります。
2.2 PassLogicサーバでのポリシーの設定
PassLogic認証サーバの管理ツールで、ログインプロテクトを有効とするPassLogic認証若しくはPassClip認証のポリシーを作成します。
通常のポリシー設定に加え、下記の設定を追加します。
ログインプロテクト
- チェックボックスをチェックします。
- チェックすると下記の項目が表示されます。
ログインプロテクトAPIサーバのURL
ログインプロテクトAPIサーバのURLを申し込み時に受領したログインプロテクトサーバのURLから記載します。
通常は下記となります。
https//[ログインプロテクト組織ID].passlogy-loginprotect.com/official/loginprotect
サービスID
該当ポリシーで使用するサービスIDを記載します。
サービスIDは、ログインプロテクト利用申請後に、パスロジ社から発行されます。
(注意)
現在使用中のポリシーでログインプロテクトを有効にしてしまうと、そのポリシーを適用しているPassLogic認証若しくはPassClip認証ユーザがログインプロテクトによってログイン不可となってしまいます。
一度、システムでのログインプロテクトを無効にして、準備を行う等の方法をご検討ください。 詳しくは「2.4 既存のPassClip認証ポリシーユーザのログインプロテクト有効化」をご参照願います。
2.3 ユーザの作成とPassClip Lのスロット初期化
通常のPassLogic認証若しくはPassClip認証ユーザと同様にユーザを作成し、メール又はプリントアウトした初期化情報(カスタムURL)を使用して、PassClip Lのスロットを初期化してください。
2.4 既存のPassLogic若しくはPassClip認証ポリシーユーザのログインプロテクト有効化
現在使用中のポリシーでログインプロテクトを有効にしてしまうと、そのポリシーを適用しているPasLogic認証若しくはPassClip認証ユーザがログインプロテクトによってログイン不可となってしまいます。
下記の手順にて移行をご検討ください。
新しいポリシーを作成してログインプロテクトを設定する
- 新しいポリシーを作成し、ログインプロテクトを設定します。ログインプロテクト以外は既存のポリシーと同じ設定とします。
- テスト用に当該ポリシーのユーザを作成し、ログインプロテクトが正しく動作する事を確認します。
パイロットユーザの移行
- 管理ツールの全般設定で、ログインプロテクトの無効化を設定します。
- 既存ポリシーを使用するユーザからパイロットユーザを決め、パイロットユーザのポリシーを新しいポリシーに変更します。また、そのままログイン可能な事を確認します。
- パイロットユーザのPassClipのリセット、又は、ユーザの編集(内容の変更は必要ありません)を実施します。また、そのままパイロットユーザがログイン可能であるか否か確認します。
(PassClipのリセットを実施した場合は、スロットの再初期化するまではログイン不可となります。ユーザの編集を実施した場合は、この時点でもログイン可能です。) - メール、又は、プリントアウトで表示されるカスタムURLを使用して、パイロットユーザのPassClip Lのスロットを再初期化し、ログイン可能となる事を確認します。
- 管理ツールの全般設定で、ログインプロテクトの無効化を解除し、その後、パイロットユーザでログインプロテクトが正しく動作する事を確認します。
ユーザの移行
- 管理ツールの全般設定で、ログインプロテクトの無効化を設定します。
- 既存のポリシーにパイロットユーザが確認したログインプロテクトを設定、もしくはパイロットユーザが確認した新しいポリシーに変更します。
- パイロットユーザの移行に準じて、対象ユーザのPassClipのリセット又はユーザの編集を実施して、スロット再初期化用のPassClip LのカスタムURLを通知します。
- ユーザのPassClip Lのスロット再初期化が完了したら、管理ツールの全般設定で、ログインプロテクトの無効化を解除します。
(注意)
ログインプロテクトの無効化とその解除方法は、「3.2ログインプロテクトの無効化」をご参照ください。
3 ログインプロテクトの使用
3.1 ログインプロテクトの解除
ユーザがログインプロテクトを解除するには、PassClip_Lアプリからログインプロテクト解除を実施しなくてはなりません。ログインプロテクト解除中に、正しいPassLogicパスワード(パターン + フレーズ)、若しくはPassClipパスワードでログインを実施してください。
デフォルトでは、PassClip Lアプリで該当スロットを開いた時に、自動でログインプロテクトを解除します。
この動作はスロットを開いた状態で、[EDIT]→[編集]→[OP(歯車マーク)]で表示される「自動ログインプロテクト」をOFFにすると変更する事ができます。
(OFFにすると、スロットを開いても自動ではログインプロテクトの解除は行われません。)
ログインプロテクトは、解除後1分間経過するか、パスワードを入力すると、自動的にプロテクト状態に戻ります。解除後1分経過してしまった場合やパスワードを誤った場合は、スロットの上部にあるログインプロテクトの「再解除」ボタンを押下して、再度ログインプロテクトを解除してください。
3.2 ログインプロテクトの無効化
PassLogicサーバが何等かの原因でログインプロテクトサーバとの接続が出来なくなったり、ユーザ移行時に一時的にログインプロテクト機能による保護を解除したい場合は、下記の操作でログインプロテクトの無効化を実施願います。
[管理ツール]→[設定]→[基本設定]→[全般設定]の「ログインプロテクト無効化」 のチェックボックスにチェックを入れ、[次へ]→[決定]で設定を確定させてください。
ログインプロテクトの無効化を実施している間は、PassLogicサーバはログインプロテクト解除の確認を実施しません。
(既に解除されているものとして動作します。)
ログインプロテクトを再び有効とする場合は、「ログインプロテクト無効化」のチェックを外して[次へ]→[決定]で設定を確定させてください。
3.3 PassLogic for Windows Desktop
PassLogic for Windows Desktopを使用中の場合でも、ログインプロテクト機能は使用できます。
但し、Windows端末がPassLogic認証サーバと通信できないオフライン認証の状態になった場合は、ログインプロテクトは機能しません。
(ログインプロテクトが解除されている時と同じ扱いとなります。)
この動作は、PassLogic for Windows Desktop Ver 2.0.2以降で変更する事が可能です。
Ver 2.0.2以降ではログインプロテクト対象ユーザのオフライン認証時の動作を、下記の何れかとする事ができます
- ログインプロテクトが解除されているものとしてPassClipのパスワードのみで認証する。
- PassClipのパスワードの他に、Windows(AD)パスワードも要求する。
(強制Hybrid) - オフラインでの認証は許可しない。
詳しい設定方法は、「PassLogic for Windows Desktop Ver 3.1.0 インストール・運用管理ガイド」をご参照ください。