LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ogawa_to

多要素認証の利用可能なユーザーを指定する

Last updated at Posted at 2025-05-02

多要素認証を利用可能なユーザー、利用できないユーザーを設定・管理できるようにします。
image.png

  • 多要素認証を利用可能なユーザー(ユーザーA)は、多要素認証を利用することによりWindowsログインを可能とします。
  • 多要素認証を利用可能でないユーザー(ユーザーB)は、多要素認証を利用できないためWindowsにログインできません。

上記のような管理を可能にするための設定を行います。

管理イメージ

多要素認証を利用可能なユーザー:
IBM Security Verify のグループ「Windows001_MFA_Users_Group」のメンバーとして登録されている。

多要素認証を利用できないユーザー:
IBM Security Verify のグループ「Windows001_MFA_Users_Group」のメンバーとして登録されていないため、多要素認証を利用できず、Windowsサーバーへのログインもできない。
グループ「Windows001_MFA_Users_Group」のメンバーに登録されているかどうかで、多要素認証の可/不可を管理し、結果としてWindowsサーバーへのログイン可否も合わせて設定します。

設定方法

以下のような手順で設定を行います。

  • 「Windows001_MFA_Users_Group」というグループを作成する。
    このグループのメンバーであるかどうかによって、多要素認証の利用可/不可を管理するためのグループとして利用する
  • 「Windows001_MFA_Users_Group」グループのメンバーに、多要素認証を利用可能なユーザーを登録する。多要素認証を利用させないユーザーは、このグループのメンバーに入れない。
  • APIクライアントの設定を変更する。
    APIクライアントで管理可能なユーザーを「Windows001_MFA_Users_Group」に限定するように設定する。該当のWindowsサーバーの Gateway for Windows Login用に設定しているAPIクライアントで管理可能なユーザーが限定されるため、管理できないユーザーは多要素認証の実行ができない。

設定手順

1. グループを作成する

IBM Security Verify に管理者としてログインし、管理コンソールを開きます。
ディレクトリー > ユーザー&グループ を選択し、右側の画面で、グループタブをクリックします。
image.png

画面右側の「グループの追加」をクリックします。
image.png

2. グループのメンバーを登録する

グループのメンバーに追加したいユーザーを検索し、該当のユーザーが検索結果に表示されたら選択し、「選択」をクリックします。
image.png

画面右側の選択されたユーザー・グループに登録したいユーザーが表示されていることを確認して「終了」をクリックします。
image.png

グループ・メンバーに追加したユーザーが表示されていることを確認したら「保存」をクリックします。
image.png

3.APIクライアントの設定を変更する。

APIクライアントの設定を変更します。
セキュリティー > APIアクセス を選択します。
Gateway for Windows用のAPIクライアントを選択し、編集をします。
資格タブに移ります。
画面右側の「資格の管理」をクリックします。
image.png

次へと進み
制約事項の画面で、作成したグループ 「Windows001_MFA_Users_Group」を選択します。
image.png
選択後、右下の「保存」をクリックします。
これで設定が完了しました。

動作確認

「Windows001_MFA_Users_Group」のメンバーに winadmin001 を登録した状態で、Windowsサーバーに winadmin001 でログインをすると多要素認証が求められます。多要素認証が成功するとログインできます。

image.png

「Windows001_MFA_Users_Group」のメンバーから winadmin001 を外した状態で、Windowsサーバーに winadmin001 でログインをすると多要素認証ができず、ログインできません。

「アカウントは適切な第2要素認証用にセットアップされていません」と表示されます。この状態ではWindowsサーバーにはログインができません。

image.png

最後に

この設定を応用し、WindowsサーバーごとにAPIクライアントを個別に設定したり、APIクライアントごとに異なるグループを設定することで、多要素認証を実施可能なユーザーをWindowsサーバーごとに異なるユーザーを指定することも可能になります。

ユーザーの異動や担当変更等により、特定のWindowsサーバーへのログインを不可とするなどの設定変更をする場合もあると思います。各Windowsサーバーでの管理だけでなく、IDaaS側での設定を利用することで、多要素認証を利用したログインの可否をせっていできるようになるため、多要素認証を利用してログインするユーザーを管理する場合にも、有用な方法として利用いただけます。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?