More Related Content
Similar to Horizon 6 と_rsa_secur_id_の連携
Similar to Horizon 6 と_rsa_secur_id_の連携 (20)
Horizon 6 と_rsa_secur_id_の連携
- 1. © 2014 VMware Inc. All rights reserved.
VMware Horizon 6 と RSA SecurID の連携
二要素認証によるセキュリティ強化
- 3. RSA Authentication Manager
• VMware ESXi上で稼働するOpen
Virtualization Formatの仮想アプ
ライアンス
RSA SecurID Appliance
• RSA Authentication Managerを搭
載した物理アプライアンス
システムは、3つの要素(認証サーバー、エージェント、トークン)で構成さ
れています
RSA SecurIDシステム
RSA Authentication Agent ソ
フトウェア
• OSやWebサーバー上にインストー
ルして、SecurID認証を有効に
SecurID Ready パートナー製品
• SecurID連携が確認済みの350種以
上の連携製品
RSA Authentication Agent API
• カスタムアプリケーションに
SecurID認証を実装するSDK
(* RADIUS対応も可)
ハードウェア・トークン
• ライフタイム・ワランティも付帯し
た個耐久性の高い定番トークン
ソフトウェア・トークン
• 各種スマートデバイスやPC/Mac等
にインストールして利用する手軽な
トークン
オン・デマンド・トークン
• EメールまたはSMSでその都度受信
するトークン
トークン 認証エージェント 認証サーバー
VMware View および
VMware Workspace
Portal は
SecurID Ready です
3
- 4. VMware View と RSA SecurID の連携
4
Connection Server
RSA SecurID 認証サーバ
View Client
仮想デスクトップ
Connection Server と通信可能な認
証サーバーを構築。仮想アプライア
ンス版は簡単に展開が可能。
RSA SecurID 認証を
要求するように設定
• ワンタイムパスワードを使用した認証で仮想デスクトップのセキュリティを強化
• 「RSA SecurID トークンによって生成される認証コード」と「ユーザの記憶
(PIN)」を要求することで二要素認証を提供
トークン
- 8. VMware Workspace Portal と RSA SecurID の
連携
8
• ワンタイムパスワードによる認証で Workspace ポータルのセキュリティを強化
• アクセス元のネットワーク範囲によって認証方法を変更することが可能
社外からのアクセスは
RSA SecurID で認証
社内からのアクセス
はドメインパスワー
ドで認証
- 10. RSA Authentication Managerの設定
RSA Security Console
– ユーザーやトークンの管理等に使用する管理コンソール
– https://hostnameFQDN/sc
RSA Operations Console
– 初期セットアップ、システムメンテナンスに使用する管理コンソール
– https://hostnameFQDN/oc
1. サーバー
のセットアッ
プ
• 物理アプライアン
スと仮想アプライ
アンスでの提供
• ライセンスファイ
ルおよびネット
ワーク情報が必
要
2. トークンレ
コードイン
ポート
• ハードウェア、ソフ
トウェアトークン共、
トークンシードファ
イル(XML)が必
要
3. 認証エー
ジェントの登
録
• 認証要求の送信
元を登録
• (登録のないホス
トからの認証要求
はドロップされる)
4. ユーザー
の登録
• 認証サーバーに
手動登録、もしく
は、AD連携の
セットアップ
(Operations
Console)
5. ユーザー
へのトークン
の割り当て
• ユーザーとトーク
ンシリアル番号の
紐付登録
RSA Security Console
Quick Setup
RSA Operations
Console
← 一旦システムが組みあがった後の
運用管理はほとんどこちらで行います。
1
- 11. [Access]-[Authentication Agents]-[Manage Existing]/[Add New]
認証要求の送信元の登録が必要です
3. 認証エージェントの登録
MEMO
View Connection Server のホスト名、IPアド
レスを登録します。
その他の欄はデフォルトでOK。
DNS名正逆一致してひけるよう、DNSまた
はhostsを記載してください。
1
- 12. [Access]-[Authentication Agents]-[Generation Configuration File]
認証サーバーの情報を認証エージェントに提供するために配布します
3. 認証エージェントの管理
MEMO
AM_Config.zipファイルを解凍し、
“sdconf.rec”ファイルを取り出します。この
ファイルは、後で認証エージェント(View
Connection Server等)にアップロードします。
サーバーの編成が変わらない限り(再インス
トール、IP変更等がない限り)、同じファイル
を使用可能です。
sdconf.recの取出し
1
- 13. [Identity]-[Users]-[Manage Existing]/[Add New]
認証サーバーのデータベースを利用して手動で登録するか、または、ADと連携します
4. ユーザーの登録、管理
MEMO
Active Directoryのユーザー情報と連携する
には、RSA Operations Consoleにて、
Identity Source設定が必要です。
このイメージでは、“AD”という名前で連携定
義が作成されているため、左ペインで“AD”
を選択しています。
1
- 19. Workspace Portal の設定
19
Configurator アプライアンスの管理
画面から「認証方法」を設定。認証方
法の一覧から「SecurID」を選択して、
必要に応じて認証スコアを変更。
「IDプロバイダ」を選択し、認証方
法とネットワーク範囲を指定。認証
方法として「SecurID」を選択し、
前の手順で作成したネットワーク範
囲を選択。
- 20. Workspace Portal の設定
20
アクセスポリシーを設定
ネットワーク範囲と最低認証スコアを設定。この
例では、「Internal」というネットワーク範囲以
外からのアクセスについては最低認証スコア3の認
証(=RSA SecurID)を要求する。