前のトピック: OATH OTP 発行プロファイルの設定次のトピック: OATH OTP トークンの管理

CA Strong Authentication 管理ガイドグローバルな CA AuthMinder 設定の管理プロファイルとポリシーの設定OATH OTP 設定の設定OATH OTP 認証ポリシーの設定

OATH OTP 認証ポリシーの設定

OATH OTP Token ベースの認証に関連する以下の属性を指定するために OATH OTP 認証ポリシーを使用できます。

次の手順に従ってください:

  1. メイン メニューの[サービスおよびサーバの設定]タブをクリックします。
  2. サブメニューの[CA Strong Authentication]タブがアクティブであることを確認します。
  3. [OATH OTP Token]セクションの[認証]リンクをクリックすると、[OATH OTP Token 認証ポリシー]ページが表示されます。
  4. 必要に応じて、[ポリシー設定]セクションのフィールドに入力します。

    ポリシー設定

    作成

    新規ポリシーを作成する場合は、以下の手順に従います。

    • [作成]オプションを選択します。
    • 表示されるフィールドに、新規ポリシーの設定名を指定します。
    更新

    既存のポリシーを更新する場合は、表示される[設定の選択]リストから更新するポリシーを選択します。

    設定のコピー

    既存のポリシーから設定をコピーしてポリシーを作成する場合は、このオプションを有効にします。

    注: スコープがあるほかの組織に属する設定からコピーすることもできます。

    利用可能な設定

    設定をコピーするポリシーを選択します。

    認証ルック アヘッド数

    ユーザが入力した OATH OTP を確認するために、CA AuthMinder サーバの OATH OTP カウンタが増加される回数を指定します。 ユーザが入力した OATH OTP は、現在のカウント - 認証ルック バック数 ~ 現在のカウント + 認証ルック アヘッド数の範囲でサーバ上で生成されるすべての OATH OTP と比較され、ユーザが入力した OATH OTP-EMV が一致した場合、そのユーザは認証されます。

    注: クライアントとサーバの OATH OTP が一致する場合、そのカウントはサーバ上の現在のカウントとして設定されます。

    認証ルック バック数

    ユーザが入力した OATH OTP を確認するために、CA AuthMinder サーバの OATH OTP カウンタが減少される回数を指定します。

    ユーザが入力した OATH OTP は、現在のカウント - 認証ルック バック数 ~ 現在のカウント + 認証ルック アヘッド数の範囲でサーバ上で生成されるすべての OATH OTP と比較され、ユーザが入力した OATH OTP-EMV が一致した場合、そのユーザは認証されます。

    注: クライアントとサーバの OATH OTP が一致する場合、そのカウントはサーバ上の現在のカウントとして設定されます。

    同期ルック アヘッド数

    クライアント デバイス上の OATH OTP カウンタと同期するために、CA AuthMinder サーバ上の OATH OTP カウンタが増加される回数を指定します。

    クライアントとサーバの OATH OTP が同期を取るために、ユーザが 2 つの連続した OATH OTP を提供する必要があります。これらの OATH OTP が、検索範囲(カウント - 同期ルック バック数 ~ 現在のカウント + 同期ルック アヘッド数)にあるサーバの連続した OATH OTP と一致する場合、サーバのカウンタは、ユーザが入力した 2 番目の OATH OTP に対応するカウントに同期されます。

    同期ルック バック数

    クライアント デバイス上の OATH OTP カウンタと同期するために、CA AuthMinder サーバ上の OATH OTP カウンタが減少される回数を指定します。

    クライアントとサーバの OATH OTP が同期を取るために、ユーザが 2 つの連続した OATH OTP を提供する必要があります。これらの OATH OTP が、検索範囲(カウント - 同期ルック バック数 ~ 現在のカウント + 同期ルック アヘッド数)にあるサーバの連続した OATH OTP と一致する場合、サーバのカウンタは、ユーザが入力した 2 番目の OATH OTP に対応するカウントに同期されます。

    認証情報ロックアウト

    失敗した試行の数を指定します。この数を超えると、OATH OTP がロックされます。

    認証前にユーザ ステータスを確認

    認証の前にユーザのステータスがアクティブかどうかを確認する場合は、このオプションを選択します。

  5. [+]記号をクリックして[詳細設定]セクションを展開します。
  6. 必要に応じて、このセクションのフィールドに入力します。

    詳細設定

    警告を発行

    ユーザの認証情報の有効期間の残り日数がこの日数より少なくなると、呼び出し元のアプリケーションに終了が近づいていることを通知する警告が送信されます。

    期限切れ認証によるログイン猶予日数

    正常にログインするためにユーザが期限切れの認証情報を使用できる日数を指定します。

    認証情報の自動ロック解除を有効化

    認証情報が、次のフィールドに指定した時間の後に自動的にロック解除されるようにする場合は、このオプションを選択にします。

    このフィールドは、[認証情報ロックアウト]フィールドで対応する値を指定する場合のみ有効です。

    注: 認証情報は、ロック解除期間の後に自動的にロック解除されません。 認証情報をロック解除するには、ロック解除期間の後に認証に使用して成功させる必要があります。

    ロック解除までの時間

    ロックされた認証情報が認証に再使用できるようになるまでの時間数を指定します。

    代替処理オプション

    CA AuthMinder サーバ はプロキシとして機能し、以下の条件に基づいて、認証リクエストをほかの認証サーバへ渡します。

    • 見つからないユーザ: 認証しようとするユーザが CA AuthMinder データベースに存在しない場合、リクエストはほかのサーバに渡されます。
    • 見つからない認証情報: ユーザが認証に使用しようとしている認証情報が CA AuthMinder データベースに存在しない場合、リクエストはほかのサーバに渡されます。

      この機能を有効にする方法の詳細については、「RADIUS プロキシ サーバとしての CA AuthMinder の設定」を参照してください。

    検証用の使用タイプ

    ユーザが特定の OATH OTP 認証情報を使用して認証する場合は、このフィールドにその使用タイプの名前を入力します。

    使用タイプを指定しないと、デフォルトの OATH OTP 認証ポリシーで指定された使用タイプが使用されます。

  7. [保存]をクリックします。
  8. 展開された CA AuthMinder サーバ インスタンスをすべてリフレッシュします。 手順の詳細については、「サーバ インスタンスのリフレッシュ」を参照してください。