2 要素認証

2 要素認証 (2FA) は、不正なユーザーによる Control Room へのアクセスに対する追加の防御階層を提供します。管理者は、2FA を設定することで、ユーザーが Control Room にログインするときに、ユーザー資格情報と第 2 の認証要素の両方を使用して本人確認を行うことができるようにします。

2FA の仕組み

2FA とは、ログイン プロセスに追加される追加の認証メカニズムです。2FA は、デフォルトでは無効になっています。Control Room 管理者は、すべてのユーザーまたは特定のロールを持つユーザーに対して 2FA を構成します。2FA を有効にすると、その対象となるすべての Control Room ユーザーに適用されます。

2FA を必要とするロールを割り当てられた場合は、モバイル デバイスまたは他のデバイス上で認証アプリケーションを設定して、認証アプリケーションと Control Room との間の接続を確立する必要があります。それ以降のログインでは、Control Room へのログインを完了するために、ユーザー名とパスワードに加えて、認証アプリケーションからの時間ベースのワンタイム パスワード (TOTP) を入力するように求められます。

注: 2FA は Active Directory (AD) または SSO を使用した Control Room 設定でサポートされていません。2FA は、Control Room が認証プロバイダーである場合のみサポートされます。

コンポーネント

2FA では、3 つの主要なコンポーネントが使用されています。
  • 認証アプリケーション: このアプリケーションは、モバイル デバイスにインストールされ、本人確認のための TOTP を生成します。DUO や Google Authenticator など、TOTP プロトコルをサポートする認証アプリケーションであれば、すべてサポートされます。
  • 登録済みデバイス: 2FA 設定後の最初のログイン中に、Control Room に登録するモバイル デバイスまたは他のデバイスです。Control Room にログインするたびに必要となる TOTP は、この登録済みデバイスを通じて生成されます。登録済みデバイスを紛失するか利用できなくなった場合は、Control Room 管理者に依頼してデバイスを削除してもらう必要があり、その後で別のデバイスを追加することができます。そのため、複数のデバイスをセットアップして、Control Room に登録することをお勧めします。
  • 時間ベースのワンタイム パスワード: 現在時刻を認証要素として使用するアルゴリズムで生成された一時的なパスワードです。

2FA コンポーネント

2FA の設定

  1. Control Room で 2FA を有効にします。
    1. Control Room に管理者としてログインします。
    2. [管理] > [設定] > [セキュリティ設定] > [2 要素認証] に移動します。
    3. [編集] をクリックして、設定を行います。
    4. [有効にする] を選択します。これはデフォルトでは有効になっていません。
    5. 要件に応じて、次のような設定を選択します。
      オプション アクション
      すべてのユーザー Control Room にアクセスできるすべてのユーザーに対して 2FA を有効にするには、このオプションを選択します。
      選択済みのロール 特定のロールを持つユーザーに対して 2FA を有効にするには:
      1. [選択可能なロール] 列で、2FA を有効にするロールを検索して選択します。
      2. これらのロールを [選択済み] 列に移動します。
    6. 変更内容を保存します。
  2. 任意: ユーザーが登録した (モバイル) デバイスが利用できないか変更された場合は、デバイスを削除して新たに登録します。
    1. Control Room に管理者としてログインします。
    2. [管理] > [ユーザー] の順に移動します。
    3. 編集するユーザーを選択します。ユーザー名の右側にあるアクション メニュー (縦の 3 点リーダー) にカーソルを合わせ、[ユーザーを表示] をクリックします。
    4. [認証アプリ] セクションで、削除するデバイスを選択し、削除アイコンをクリックして、削除を確認します。
  3. 認証アプリケーションを設定し、認証アプリケーションと Control Room の間の接続を確立します。
    1. 市民開発者 または Bot Creator (RPA 開発者) として、Control Room にログインします。

      モバイル デバイスに認証アプリケーションを設定していることを確認します。初回ログイン時に、QR コードが表示されます。

    2. 認証アプリケーションで QR コードを読み取るか、認証アプリケーションに表示されるコードを手動で入力します。
    3. 認証機器の名前と、認証アプリケーションで生成された新しいコードを入力します。

      このコードは、一時的なもので、認証アプリケーションに基づいて数分ごとに更新されます。

    4. [確認] をクリックします。

      ログイン フローの次のステップに従って、パスワードを変更し、セキュリティの質問を設定します。Control Room に正常にログインされます。それ以降のログインでは、認証アプリケーションで生成されたコードを入力し、確認する必要があります。

  4. 任意: 認証デバイスを管理 (追加または削除) することができます。
    1. 市民開発者 または Bot Creator (RPA 開発者) として、Control Room にログインします。
    2. [ホーム] ページで、ユーザー名をクリックします。
    3. [マイ設定] > [2 要素認証] の順に移動します。
    4. プラス (+) アイコンをクリックします。
    5. ステップ 2 要素認証2 要素認証 を実行します。
    6. 任意: 削除したいデバイスを選択し、削除アイコンをクリックして、削除を確認します。