IBM Security VerifyとActive Directoryを連携して、多要素認証（MFA）を実装してみた

◆はじめに

みなさま、こんにちは。
最近の世の中では、社内のアプリケーションだけに留まらず、クラウド上のアプリケーションを利用することが多いのではないかと思います。
クラウド上のアプリケーションを使うことの大きな利点は、時と場所を問わずアクセスできることですが、アプリケーションごとにIDや権限、パスワードが増えるとこの利点が欠点に変わる可能性があります。
企業のセキュリティにとって、IDや権限、パスワードの管理とても重要です。
そこで役に立つのが、IBM Security Verifyのようなアクセス管理製品です。
IBM Security Verifyはクラウドサービスとして提供され、オンプレミスの認証基盤のID情報を使ってクラウド上のアプリケーションに対しシングル・サイン・オン（SSO）を実現し、多要素認証も容易に追加することが可能です。

今回は、クラウドアプリケーション（Salesforce）へActive Directoryにあるユーザー情報を使って多要素認証を行う環境を構築してみたいと思います。

◆IBM Security Verifyの製品概要

IBM Security Verifyは、オンプレミスのIdentity and Access Management(IAM)とクラウドとを接続するIDaaSソリューションです。
IBM Security Verify は、クラウド・アプリケーションを適用するビジネスの俊敏性が向上するよう支援し、さまざまなデバイスからのシングル・サインオンでユーザーの生産性を高め、既存のインフラストラクチャーを拡張することで IT の効率性をさらに向上させます。

IBM Security Verifyは主に以下の用途があります。

・サービス・プロバイダー
Verify を複数のアイデンティティー・プロバイダー (Microsoft Active Directory など) と統合し、それらを使用してユーザーを認証できます。

・アイデンティティー・プロバイダー
Verify アプリケーション・カタログから入手可能な事前定義テンプレートまたはカスタム・テンプレートを使用して、 Verify を任意のアプリケーション・サービス・プロバイダー と統合できます。

・IBM Security Verify Access
IBM Security Verify Accessは、IBM Security Verifyのユーザー・リポジトリと SAML ID プロバイダーの両方の機能を提供します。
仮想アプライアンス（OVFファイル）またはハードウェアアプライアンスとして提供されます。
IBM Security Verify Access がオンプレミスのユーザーリポジトリ (Active Directory など) と連携します。ユーザー アカウントがオンプレミスに留まり、クラウドに複製されないことを意味します。

ユーザーリポジトリとしてActive Directory、アプリケーションゲートウェイとしてIBM Security Verify Accessを利用し、Active Directoryにあるユーザー情報でIBM Security Verifyへログインし、多要素認証を行います。

◆設定方法

1.IBM Security Verify無料評価環境の登録
2.IBM Security Verify Access導入～Active Directory連携
3.IBM Security VerifyでMFA設定
4.IBM Security Verify Access～IBM Security Verify連携
5.多要素認証（MFA）の確認

1.IBM Security Verify無料評価版の登録

IBM Security Verify無料評価版
上記IBMサイトから登録し、無料評価版の環境を入手します。

2.IBM Security Verify Access導入～Active Directory連携

IBM Security Verify AccessはOVFファイルから仮想マシンを作成します。
OVFファイルのインポート後に、管理用IP管理アドレス等の初期設定を仮想マシンのコンソールから行いますが今回は割愛させていただきます。
Active Directoryと連携を行う場合は、以下の構成になります。
IBM Security Verify Access上にリバースプロキシ（rp1）を構成し、参照元のユーザーリポジトリとしてActive Directoryを指定します。

Active Directoryとの連携は、以下の画面に従ってサーバー情報やSuffix等を入力し、構成します。

3.IBM Security VerifyでMFA設定

多要素認証の準備として、IBM Security Verify上で、認証時に多要素認証（MFA）を求めるよう設定を行います。

・ユーザーが各自のホームページ（ランチパッド）にアクセスする際に多要素認証を要求するよう設定します。

・多要素認証に利用する認証要素を選択します。
今回はSMSワンタイム・パスワードを設定することにします。

4.IBM Security Verify Access～IBM Security Verify連携

IBM Security Verify Access～IBM Security Verify間の連携は、IBM Security Verify Accessから接続を構成します。
構成箇所は以下の2箇所です。
接続先のIBM Security VerifyのURLを入力し、管理者ユーザーで認証します。

・Connect Verify Access out to IBM Security Verify
IBM Security VerifyのIDプロバイダーとして、IBM Security Verify Accessを利用するために構成します。
この設定を行うことで、項番2で設定した通りIBM Security Verifyの認証にActive Directoryの情報を利用することが可能になります。

・Strong Authentication using IBM Security Verify APIs
IBM Security Verification APIを使用して、多要素認証の認証メカニズムを呼び出すために構成します。

5.多要素認証の確認

多要素認証の確認のため、IBM Security VerifyへActive Directoryのユーザーでログインします。

5-1.IBM Security Verifyへアクセスし、「SAML Enterprise – ISAM Connect でサインイン」をクリックします。

5-2.IBM Security Verify Accessのアプリケーションゲートウェイの認証画面に遷移するので、Active Directoryのユーザでログインします。

5-3.（初回のみ）2段階認証のセットアップ画面に遷移します。「始める」をクリックします。
画面に従い、設定を行います。今回はSMSワンタイム・パスワードを利用するため、携帯電話の番号を登録することにします。

5-4.登録した電話番号にアクセス・コードが記載されたSMSが届くので、画面に入力します。

5-5.2段階認証が完了すると、各ユーザーのホームページ（ランチパッド）が表示されます。
この画面から、各種アプリケーションに移動することが可能です。
次回ログイン時からは、IBM Security Verify Accessのアプリケーションゲートウェイの認証画面の後にアクセス・コード入力画面が表示されます。

◆所感

IBM Security Verify Access、IBM Security Verifyを連携することで、Active Directoryにあるユーザーリポジトリを使って多要素認証を追加し、よりセキュアなアクセスを実現することができました。
ご覧いただいたように、IBM Security Verifyは既存の認証基盤へ容易に接続可能なところがいい点ですね。
今回はSalesforceへ接続する例を御覧いただきましたが、新しいアプリケーションを接続する際もサポートされるアプリケーションであればウィザードが用意されていますので容易に連携が可能です。

製品についてはこちらをご参照ください。
https://www.niandc.co.jp/sol/product/ibm_security_verify/