トップへ戻る

ArcGIS での多要素認証

MFA (多要素認証) とは、システムへの認証を試みているユーザーまたはクライアントの ID を検証するために、複数の方法、資格情報、または要素を使用することを指します。 反対に、単一要素認証はパスワードなどの単一の認証方法に依存する場合があります。 多要素認証を使用すると、盗まれた資格情報やシークレットだけでは、ユーザーになりすますことができなくなります。

要素には、セキュリティー保護と検証が可能なデータを使用できます。 最もシンプルなものはパスワードですが、次のような他の形式も含まれます。

  • 個人識別番号 (PIN)
  • セキュリティーの質問 – ログイン時に検証された (最初にユーザーが指定した) ユーザー指定の回答
  • 生体認証要素 – 網膜や指紋を含む
  • ソフト トークン – 多くの場合、特定の入力がシードされたソフトウェアベースの乱数ジェネレーターが使われ、ソフトウェアを実行しているデバイスがその入力を正しく生成できる唯一のデバイスであることを証明します。
  • ハード トークン – 多くの場合、特定のデバイスを一意に識別できる文字列や数字を表示するよう設計されたソフトウェア デバイス (キー チェーンなど) で、ユーザーがそのデバイスを所有していることを証明します。
  • パスワード レス認証デバイスと FIDO2 などのテクノロジー
  • SMS ベースの MFA – 既知の電話番号にコードがテキストで送信され、その後ユーザーがそのコードを入力して、SMS を受信するモバイル デバイスにアクセスできることを確認します。
  • ソフトウェアベースの MFA – 通常、モバイル デバイスで実行される別のアプリがプッシュ通知を受信し、ユーザーがそれを確認するとアクセスが許可されます。
  • スマート カード – 一般に ID 検証カードとも呼ばれ、多くの場合は特定のクライアント証明書が含まれています。

MFA は、認証プロセスの任意のステップまたはすべてのステップで適用できます。 初期認証や検証中に使われることが多く、その後、システムは一定期間再認証を求めません。 これは、ユーザーのアクセスを容易にし、MFA システムへの不満を軽減することを目的としています。ユーザーがストレスを感じると、追加の要素を無効にする手段があれば、それを利用する可能性があるためです。

通常、特定の ID プロバイダーやシステムを介して初めてログインする際には、特に公共のコンピューターや新しいモバイル デバイスなどの認識されないハードウェアを使用する場合は、複数の認証要素が必要となります。 ID が確立されると、多くのシステムは Cookie またはデバイス情報、位置情報、または IP アドレスの組み合わせを使用し、そのデバイスまたはシステムからの今後のログインで MFA を求めないようにします。

一般的な MFA パターン

MFA の実装にはさまざまな形式がありますが、エンタープライズ システムの一般的なパターンには次のものがあります。

  • 最も一般的には、MFA 要件は IdP (ID プロバイダー) レベルで適用されます。 IdP は、ArcGIS Enterprise または ArcGIS Online に SAML または Open ID Connect ベースのログインを提供します。
    • このシナリオでは、ユーザーは SAML または OIDC ログイン フロー中に追加の要素の入力を求められます。 これは、IdP が提供するサイトまたはインターフェイスで発生することがあり、ArcGIS ソフトウェアは MFA 要件を認識しません。 これは、IdP によってのみ要求され、検証されます。
  • 組み込み ArcGIS Enterprise アカウントの MFA
    • このオプションは、組み込みの ArcGIS Enterprise アカウントで有効にできます。 組み込みのユーザーは、Google Authenticator などの既存のアプリケーションを使用して MFA を設定するオプションを利用できます。 詳細については、ArcGIS Enterprise の多要素認証をご参照ください。
  • 組み込み ArcGIS Online アカウントの MFA
    • 上記の例と同様に、MFA は組み込みの ArcGIS Online アカウントで有効にできます。 詳細については、ArcGIS Online の多要素認証をご参照ください。

MFA を実装する際の検討事項

  • ArcGIS は、Field Maps や ArcGIS Pro などのアプリベースのログインに OAuth ベースの認証プロセスを使用しています。 つまり、ID プロバイダーまたは ArcGIS 自体からの MFA プロンプトは、アプリ自体から起動される埋め込み Web ブラウザーまたは外部 Web ブラウザーで、そのログイン プロセス中に直接処理されることを意味します。 ユーザーのセッションが確立され、再認証が行われるまで、それ以上のプロンプトなしで続行されます。 このログイン フローは通常、埋め込みのブラウザー ウィンドウや別のブラウザー ウィンドウ内で実行され、Cookie、リダイレクト、および SAML および OIDC プロバイダーのさまざまなブラウザーベースの MFA を処理できます。
  • 通常のヘッドレス リクエスト (スクリプト化されたプロセスやワークフロー自動化システムなど) やバックエンドのサーバー間通信を含むワークフローでは、これらのリクエストが失敗する原因となるような方法で MFA を実装しないように注意してください。そうしないと、通信や自動化が予期せず中断する可能性があります。
  • データベースへの接続などのワークフローにおいて有効な MFA は、明示的にサポートされている場合にのみ ArcGIS で正常に処理される可能性が高いため、サポートが存在するかどうかについては、ArcGIS のリリース ノートとデータベース システムの要件を確認してください。

MFA にはさまざまな定義があり、さまざまなソフトウェア パッケージで異なる方法で構成できます。ArcGIS の観点から見ると、MFA は一般的にエンタープライズ ログイン パターンに対して ID プロバイダー レベルで構成され、完全にサポートされています。また、ArcGIS Enterprise や ArcGIS Online の組み込みログイン プロセスに追加することもできます。

Top