Keeper 管理コンソール 16.16.0 以降、二段階認証のメソッドを、Yubikeyなどの FIDO セキュリティーキー (以降、「セキュリティキー」)のみを有効にして、それ以外の認証方式を無効にするということが可能になりました。
設定方法や、注意点を記載しています。
なお、設定をする場合、事前に下段の「注意点」を必ずお読みください。
設定方法
管理コンソールにログインします。管理者タブ>ロール>該当のロールを選択>強制ポリシーの設定へ進みます。
二要素認証のタブで、以下のように設定します。
- 二要素認証: 有効
- 使用可能な2段階認証方式: セキュリティキーのみ有効
このロールが割り当たったユーザーは、ログイン時以下の挙動となります。
- 初回ログイン時: 二段階認証の登録が求められ、セキュリティキーのみ設定可能
- ロールが割り当たった後のログイン: セキュリティキーの設定が求められる。
暗証番号を必須について
セキュリティキーの設定ドグルの左に「暗証番号が必要です」と記載があります。ここでいう暗証番号とは、セキュリティキーに設定するPINを指します。
これを有効(チェックを入れる)にすると、以下のような挙動になります。
- 新たにセキュリティキーを設定する場合、PINなしのセキュリティキーは利用できない。
- 既に登録済みのセキュリティキーが、PINありの場合はログインできる。
- 既に登録済みのセキュリティキーが、PINなしの場合はログインできなくなる。
一方で、無効(チェックを外す)にすると、以下のような挙動になります。
- 新たにセキュリティキーを設定する場合、PINなしのセキュリティキーを登録できる。
- 新たにセキュリティキーを設定する場合、PINありのセキュリティキーを登録できる。登録時にはPINが要求される。
- 既に登録済みのセキュリティキーが、PINありでもログインできる。
- 既に登録済みのセキュリティキーが、PINなしでもログインできる。
注意点
- PINなしのセキュリティキーだけを登録した状態で、このロールを割り当てた場合、そのユーザーはログインできなくなります。事前に、PINありのセキュリティキーを登録するなど行ってください。
- セキュリティキーのみを必須にする場合、Android や iOS ではログインできなくなります。また、Keeper Commander CLI も利用できなくなります。
- PINなしのセキュリティキーだけを設定したユーザがいる状態で、暗証番号必須のロールを割り当てると、そのユーザは二段階認証ができなくなり、ログイン不可となります。
補足
- 本検証には、「Yubikey 5 NFC」を利用しています。
- 指紋認証対応しているセキュリティキーでは検証しておりません。