はじめに
クラウドインテグレーション部の峰松優太です。
本シリーズ記事では、PassLogic を利用して以下の 2 つを実現します。
- SAML 認証連携による PassLogic 認証を利用した Microsoft 365 へのログイン
- PassLogic for Windows Desktop による PassLogic 認証を利用した PC へのログオンおよび Microsoft 365 へのシームレスサインオン
PassLogic とは デバイスレス・ワンタイムパスワード を用いた認証プラットホームであり、パスロジ株式会社より提供されてます。
PassLogic 公式より、以下 2 つの記事が公開されています。
- Office 365 と PassLogic を SAML 連携 (※ Office 365 は Microsoft 365 の旧称です)
- Windows ログオン シームレスサインオン
これらのシステムを実際に構築し、詰まった点や考慮すべきだと感じた点について紹介します。
なお、今回の全構築作業を以下 3 フェーズに分割しています。
- フェーズ 1 - ユーザ連携編
- フェーズ 2 - SAML 認証編
- フェーズ 3 - シームレスサインオン編
本記事では、フェーズ 3 について記載します。
- PassLogic for Windows Desktop による Windows へのログオン
- Microsoft 365 へのシームレスサインオン
- PassClip
PassLogic for Windows Desktop
PassLogic for Windows Desktop は、Windows 端末に対して、PassLogic 認証を利用してログオン可能になるモジュールです。
また、シームレスサインオン機能を併せてインストールすると、ブラウザにおける認証をスキップすることが可能となります。
引用: PassLogic for Windows Desktop インストール・運用管理ガイド (PassLogic 製品に同梱)
今回はシームレスサインオン機能を併せた PassLogic for Windows Desktop をインストールするために必要な設定を実施します。
PassLogic 認証サーバ追加設定
インストールガイドに従い、構築済みの認証サーバで PassLogic for Windows Desktop 用の追加設定を行います。
インストールガイドは PassLogic を購入すると入手できます。
ドメイン設定
Active Directory と連携しているユーザの場合、PassLogic のドメイン名を AD ドメインの NetBIOS 名に設定する必要があります。
引用: PassLogic for Windows Desktop インストール・運用管理ガイド (PassLogic 製品に同梱)
フェーズ 1 で「PLTEST」という PassLogic ドメインを新規作成してユーザ連携しましたね。
これによって、AD ユーザ "ym" で PassLogic for Windows Desktop を利用できます。
ポリシー設定
「Windows Logon の使用」にチェックを入れます。
また、Windows ログオンでは以下の 2 つの認証方式があり、今回は「PassLogic ONLY」を指定しました。
- PassLogic ONLY: 初回のみ PassLogic 認証と AD 認証を行い、以降は PassLogic 認証のみでログオンします。
- Hybrid: PassLogic 認証と AD 認証を毎回行いログオンします。
基本設定
-
外部 API の利用メソッド一覧に以下のメソッド名を記載します。
- win_keyreq
- win_auth
- win_offdata
- win_userpolicy
- win_issue_login_ticket (*)
- win_issue_passthrough_token (*)
-
「シームレスサインオンを有効化」にチェックを入れます (*)
-
Windows サービスに対して使用するポートの最小値・最大値を指定します。(*)
※ シームレスサインオン機能を利用しない場合には (*) の設定は必要ありません。
以上で、認証サーバに必要な追加設定が完了しました。
Windows クライアント設定
インストール・運用管理ガイドに従い、Windows クライアントを設定します。
インストール・運用管理ガイドは PassLogic を購入すると入手できます。
環境
- PassLogic for Windows Desktop Ver.3.0.0
- OS: Windows 10 pro
- .NET Framework 4.8.04084
注意
- PassLogic for Windows Desktop Ver.3.0.0 を利用するには、PassLogic Enterprise Edition Ver. 5.0.0 以降の認証サーバが必要です。
- シームレスサインオン機能を利用しない場合は 4.5.1 以上、利用する場合は 4.8.0 以上の .NET Framework がインストールされている必要があります。
- Windows 11 にも対応しています。
インストーラ用設定ファイル
インストール・運用管理ガイドに従い、認証サーバへのアクセス URL や使用ポートなどを指定します。
今回は以下の項目のみ設定しました。
| 項目 | 説明 |
|---|---|
| AuthURL1 | https://{PassLogic サーバの FQDN}/passlogic/api/outer |
| MinPort | 10800 (Windows サービスのポートの最小値) |
| MaxPort | 10810 (Windows サービスのポートの最大値) |
| AdminAuth | 0 |
注意
- クラウド版では、PassLogic サーバの URI がエンタープライズ版とは異なります。
- MinPort および MaxPort は、認証サーバ基本設定における Windows サービスのポートの最小値・最大値を設定する必要があります。
- AdminAuth の値を 0 に設定すると、"Administrator" という名称のユーザのみ PassLogic 認証が適用されずローカル認証のみでログインできるようになります。("Administrator 権限を持つユーザ" ではありませんのでご注意ください。)
PassLogic for Windows Desktop のインストール
インストーラは 2 種類あり、シームレスサインオン機能を利用するか否かによってインストーラが異なります。
今回はシームレスサインオン機能を利用するためのインストーラを使用します。
インストーラ実行が完了後、OS の再起動が必要になります。
注意
- OS 再起動後、Windows へのログオンに PassLogic 認証が使用されます。設定漏れや誤りがあるとログオンできなくなってしまうため、OS 再起動前に設定内容を入念に確認しましょう。
(AdminAuth を 0 に設定しているので、PassLogic の設定に問題があっても "Administrator" ユーザではログイン可能です。)
動作確認
Windows クライアントへのログオンから Microsoft 365 へのシームレスサインオンを確認します。
Windows へのログオン
Windows ログオン時に以下のような画面が表示されます。
※ LDAP 認証連携を使用している場合、事前に PassLogic ユーザインタフェイスで AD 認証を行いユーザを作成しておく必要があります。
■ AD ユーザ名
■ PassLogic ワンタイムパスワード認証
■ AD パスワード認証 (初回ログイン時のみ)
■ ログイン成功
Microsoft 365 へのシームレスサインオン
ログオン成功後、ブラウザから Microsoft 365 のログインページにアクセスします。
ユーザ名を入力すると PassLogic の認証画面に遷移します。
ここまでは SAML 認証連携の際と同様ですが、認証画面下部に「自動ログオン」という項目が増えています。
これをクリックすることで、ブラウザ上での PassLogic 認証を省略し Microsoft 365 へログインすることができます。
以上で、Windows クライアントへのログオンから Microsoft 365 へのシームレスサインオンが完了しました。
PassClip 認証
PassLogic は ソフトウェアトークン / ハードウェアトークン による認証にも対応しています。
PassClip 認証はソフトウェアトークンによる認証であり、スマートフォン用のトークンアプリ「PassClip L」がパスロジ株式会社より提供されています。
PassClip におけるワンタイムパスワードの表示形式は 2 種類あります。
- ベーシック表示: パスワードをそのまま数値で表示します。
- ビンゴ型: ユーザが設定したパターンに沿って 5×5 のマス内に表示された数値からパスワードを読み取ります。
今回は「ビンゴ型」を使用し、デバイスレス・ワンタイムパスワードによる PassLogic 認証を PassClip 認証に置き換えて各フェーズ実施してみました。
PassLogic ポリシー作成
ビンゴ型のPassClip 認証を利用する「PassClip Policy」ポリシーを作成します。
「Windows Logon の使用」にもチェックを付けています。
※ デフォルトで存在する Default Policy では PassLogic 認証のみ使用できます。PassClip 認証は使用できません。
LDAP 認証連携
「PassClip Policy」ポリシーを適用した LDAP 認証連携を設定します。
※ 既存の LDAP 連携認証設定のポリシーを変更してもポリシーは更新されません。
PassLogic ログイン
PassLogic ユーザインタフェイスで認証を行います。
ユーザ名と AD パスワードを入力すると、乱数表ではなく QR コードが表示されます。
PassClip L をインストールしたデバイスで QR コードを読み取り、シークレットパターンを設定します。
シークレットパターンを設定するとビンゴのマスと数値が表示されます。
設定したパターンに沿って数値を入力するとログインが完了します。
SAML 認証
PassLogic for Windows Desktop
補足
PassClip 認証を用いた PassLogic for Windows Desktop による Windows への初回ログオンにおいて、
以下のケースに全て該当する場合では AD パスワードが要求されませんでした。(「Hybrid 認証」では常に要求されました。)
- ポリシー設定で「AD パスワード保存」を有効にしていること
- ポリシー設定の「Windows Logon の使用」の認証方式で「PassLogic ONLY」を選択していること
- 対象ユーザによる PassLogic for Windows Desktop への初回ログオンの前に、ウェブのユーザインタフェイスによるログインを一度でも完了していること
まとめ
本記事では、PassLogic for Windows Desktop による Windows へのログオン と Microsoft 365 へのシームレスサインオン、さらに PassClip 認証を実装しました。
フェーズ 3 の要点は以下です。
- PassLogic for Windows Desktop の設定に漏れや誤りがあると Windows にログオンできなくなってしまうためしっかりと確認する。
- インストーラ用設定ファイルにて、AdminAuth の値を 0 にすることで "Administrator" という名称のユーザのみ PassLogic 認証が適用されずローカル認証のみでログインできる。("Administrator 権限を持つユーザ" ではない)
- PassLogic は、デバイスレス・ワンタイムパスワードによる PassLogic 認証だけでなく、ソフトウェアトークンによる PassClip 認証やハードウェアトークンによる TOTP 認証も可能である。
以上で本シリーズ記事は終了です。 取り上げた内容について、皆様の知見となれれば幸いです。
最後までお読みいただきありがとうございました。
引用・参考
PassLogic Enterprise Edition Ver.5.0.0 インストールガイド (*)
PassLogic Enterprise Edition Ver.5.0.0 運用管理ガイド (*)
PassLogic for Windows Desktop Ver.5.0.0 インストール・運用管理ガイド (*)
PassLogic Enterprise Edition ユーザガイド(*)
Office 365 と PassLogic を SAML 連携
※ (*) は PassLogic 製品に同梱されているドキュメントです。
