Google Authenticator の使用
このセクションでは、Google Authenticator を構成する方法を説明します。
Google Authenticator を構成するには、以下の手順を実行します。
- [サイト設定] > [接続] > [多要素認証] に移動します。
- 構成する Google Authenticator プロバイダーの名前をダブルクリックします。
- [編集] ボタンをクリックします。
- 次の要素を指定します。
- 名前: プロバイダーの名前です。
- 説明: プロバイダーの説明です。
- [テーマ] テーブルで、この MFA プロバイダーを使用するテーマを選択します。
- 表示名: この場合のデフォルト名は「Google Authenticator」です。その名前は、Parallels Client の登録ダイアログの”Google Authenticator アプリを iOS または Android のデバイスにインストールしてください”という部分に表示されます。名前を変更すると、指定した名前が使用され、”<new-name> アプリを iOS または Android のデバイスにインストールしてください”と表示されます。技術面からすると、どの認証アプリでも使用できますが(つまり、名前を変更することも可能ですが)、この資料の執筆時点では Google Authenticator アプリだけが正式にサポートされています。
- 必要に応じて、デフォルトの TOTP 許容範囲を変更します。
- [登録] セクションでは、必要に応じて Google Authenticator のユーザー登録を制限できます。すべてのユーザーが制限なしで登録できるようにしたり( [許可] オプション)、指定した日時までに限り登録できるようにしたり([次の日時まで許可])、登録を完全に無効にしたり([許可しない] オプション)できます。有効期限が切れていたり、[許可しない] オプションが選択されていたりして、登録が無効になっている場合にユーザーがログインを試みると、登録が無効化されていることを示すエラーメッセージが表示され、システム管理者に問い合わせるよう促されます。登録を制限したり無効にしたりしても、Google 認証機能や他の TOTP プロバイダーを使用することができますが、それ以上のユーザーの登録を許可しないようなセキュリティが追加されています。これは、危殆化した認証情報を持つユーザーが MFA に登録する可能性を軽減するためのセキュリティ対策です。
- [ユーザー管理] セクションの [ユーザーをリセット] フィールドでは、ユーザーが Google 認証を使用して Parallels RAS に初めてログインしたときに受け取ったトークンをリセットできます。ユーザーをリセットすると、ユーザーは登録手続きを再び実行しなければならなくなります(詳細については、下記の「Parallels Client での Google 認証の使用」を参照)。特定のユーザーを検索することも、すべてのユーザーをリセットすることも、ユーザーのリストを CSV ファイルからインポートすることも可能です。
- 制限: 「MFA ルールの構成」を参照してください。
- 完了したら、[保存] をクリックします。
Parallels Client での Google 認証の使用
Google Authenticator は、サポートされているいずれのプラットフォームで実行している Parallels Client でも利用できます(モバイル、デスクトップ、Web Client でサポートされています)。
Google 認証を使用するには、ユーザーが認証アプリを自分の iOS デバイスまたは Android デバイスにインストールしなければなりません。Google Play または App Store にアクセスして、アプリをインストールしてください。認証アプリをインストールしたら、二要素認証を使用して Parallels RAS に接続する準備が整ったことになります。
Parallels RAS に接続するには、以下の手順を実行します。
- Parallels Client またはユーザーポータルを開き、自分の資格情報を使用してログインします。
- 多要素認証ダイアログが開き、バーコード(QR コード)と秘密鍵が表示されます。
- モバイルデバイスで Google 認証アプリを開きます。
- 初めて使用する場合は、[開始] をタップし、[バーコードをスキャンする] をタップします。
- Google 認証の別のアカウントを持っている場合は、プラス記号のアイコンをタップし、[バーコードをスキャンする] を選択します。
- Parallels Client のログインダイアログに表示されているバーコードをスキャンします。
何かの理由でうまくスキャンできない場合は、アプリに戻り、[秘密鍵を入力する] を選択し、アカウント名と Parallels Client のログインダイアログに表示されている秘密鍵を入力します。
- アプリで [アカウントを追加する] をタップすると、アカウントが作成され、ワンタイムパスワードが表示されます。
- Parallels Client に戻り、[次へ] をクリックし、[OTP] フィールドにワンタイムパスワードを入力します。
その後のログインでは、資格情報([パスワードの保存] オプションが選択されている場合は不要)と、Google 認証アプリで取得したワンタイムパスワードを入力するだけで十分です(アプリによって新しいパスワードが生成されます)。RAS 管理者がユーザーをリセットすると(このセクションの最初にある [ユーザーをリセット] フィールドの説明を参照)、ユーザーが上記の登録手順を繰り返さなければならなくなります。