二要素認証

二要素認証は追加のセキュリティ層を提供します。 ユーザーのセッションへのアクセスを防ぎます、たとえ誰かが彼らのパスワードを知っていても。 .

2つの異なる要素の組み合わせが、より高いレベルのセキュリティを達成するために使用されます。

彼らが知っている何か、 パスワード .
彼らが持っている何か、a 認証アプリがインストールされたデバイス - スマートフォンなど。 .

次の認証アプリのいずれかを使用して進めることができます。これらのアプリは、さまざまなプラットフォームで利用可能です。

ユーザーがリモートセッションにサインインするたびに、パスワードと携帯電話から入手可能な認証コードが必要です。設定が完了すると、認証アプリがログインを許可するための認証コードを表示します。デバイスがオフラインであっても機能します。

または 確認コードを受け取る方法を決定できます。 SMS この場合、無料アカウントを作成する必要があります。 Twilio .

その 2FAコードはTOTPで生成されます （時間ベースのワンタイムパスワード）であり、したがって単一の使用のためのものです。

したがって、すでに使用された2FAコードを再利用することはできません。これにより、ユーザーがコードを入力している間に観察することで2FAコードが盗まれ、その後使用されることを防ぎます。

要件

二要素認証はTSplus Remote Accessを必要とします モバイルウェブ または エンタープライズ エディション。

二要素認証は次のものをサポートしています：

TSplus Remote Access ウェブポータル HTML5およびRemoteapp接続の両方用
TSplus接続クライアント、バージョン15.30.3.15以降に生成されたクライアント用で、2FAサポートが明示的に有効になっています。ご覧くださいポータブルクライアントジェネレーターのサポート（2ファクタ認証用）
2FAはWindowsユーザーに関連しており、Web認証情報には関連していません。

この認証モードは、標準のMicrosoft Remote Desktopクライアント（mstsc.exe）を通じたログインをサポートしていません。

より安全なソリューションを提供するために、2FAが有効なユーザーのRDP接続は拒否されます。

前提条件として、TSplusサーバーとデバイスは時間通りでなければなりません。ご覧ください。時間同期そして設定設定情報の詳細については、セクションをご覧ください。

二要素認証アドオンライセンスの有効化

Two-Factor Authentication機能はAdminToolのAdd-Onタブにあります。

Activating-Two-Factor-Authentication 1

次の手順に従って、TSplusサーバーまたはデプロイメントの二要素認証を有効にします。複数のサーバーを使用するように構成されているTSplusデプロイメントの場合、ユーザーのための単一のエントリーポイントとして公開されているTSplusサーバーまたはリバースプロキシの役割を持つサーバーでこの作業を行ってください。

二要素認証管理アプリケーションを開いてください。二要素認証のステータスとライセンスのステータスが表示されます。

Two-factor Authentication

デフォルトでは、2FAはTSplusゲートウェイおよびスタンドアロンアプリケーションサーバーに対して有効になっています。

TSplusアプリケーションサーバーのみで有効にするには、認証サーバーのURLを入力してください:

Two-factor Authentication Application Server

無効にするには:

Two-factor Authentication is disabled

ユーザーとグループを追加

二要素認証が有効になると、ユーザーを二要素認証に設定できます。

二要素認証管理アプリケーションから、[クリックしてください] ユーザーを管理する タブ。
次に、クリックしてください追加ユーザーおよび/またはユーザーグループを選択するための。 ユーザーまたはグループを選択 ボックスが開きます。

Add Users and Groups

必要なだけユーザーとグループを追加し、その後クリックしてください。 OK ユーザーとグループがリストに追加され、二要素認証が有効になります。

ユーザー/グループを追加するためのコマンドは次のとおりです。
3種類の可能な引数：

ドメイン名のみ
TwoFactor.Admin.exe /addusers domainName1

デフォルト値でユーザーを追加します（受信方法 = アプリ、メールおよび電話フィールドは入力されていません）。

ドメイン名と受信方法
TwoFactor.Admin.exe /addusers domainName1;SMS

希望する受信方法でユーザーを追加しますが、アクティブ化しようとはしません。

ドメイン名、受信方法、電話番号フィールド（空でも）、メールフィールド（空でも）
*TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606; username1@truc.net ドメイン名2;メール;; username2@truc.net domainName3;SMS;+33606060607;domainName4

HMIと同様の動作で、ユーザーを追加し、その後正しい情報で編集すると、ユーザーをアクティブにしようとします。

最後の例に示されているように、複数のユーザーを示すことができます（スペースで区切ります）。ユーザーの異なるフィールドはセミコロンで区切られます。

単一グループの場合：
TwoFactor.Admin.exe /addgroups group1 group2 group3

ユーザーを編集

同じタイルで、ユーザーを選択して「編集」ボタンをクリックすることで、ユーザーが検証コードを受け取る方法を編集できます。

Edit Users

ユーザーはデフォルトで認証アプリに確認コードを受け取ります。オプションを選択することで、SMSまたはEMAILで受け取ることを選ぶことができます。

SMSを選択し、フィールドにユーザーの電話番号を追加するか、EMAILを選択し、ユーザーのメールアドレスを追加しました。

ユーザーとグループを削除

ユーザーまたはグループを削除するには、ユーザーまたはグループを選択し、次にクリックします。削除確認メッセージが表示されます。

Remove Users and Groups

クリックはいユーザーまたはグループはリストから削除され、二要素認証を使用して接続できなくなります。

ユーザーの設定をリセット

ユーザーの認証デバイスを紛失した場合、またはユーザーが秘密のQRコードを再表示する必要がある場合は、ユーザーの認証設定をリセットする必要があります。

二要素認証管理アプリケーションから、[クリックしてください] ユーザーを管理する タブ。
アクティブなユーザーを1人以上選択し、次にクリックしてください リセット 確認メッセージが表示されます。

Reset Users

クリックはい選択されたユーザーは、次回のログイン時に新しいQRコードが表示され、そのデバイスの認証アプリでスキャンする必要があります。

ユーザーの電話番号を変更することもできるため、新しいデバイスで確認コードを受け取ることができます。

ユーザーを二要素認証に登録する

ユーザーが二要素認証の使用を有効にすると、次回TSplus Webポータルからの成功したログオン時にアクティベーションメッセージが表示されます。

Activate Two-factor Authentication

必要な手順を完了するために、2つの選択肢があります：認証アプリを介してコードを生成するか、ユーザーにSMSでコードを受信させるかのいずれかです。

認証アプリケーションでコードを受け取る

ユーザーは、スマートフォンなどのポータブルデバイスに認証アプリをインストールする必要があります。

次の認証アプリのいずれかを使用して進めることができます。これらのアプリは、さまざまなプラットフォームで利用可能です。

各アプリのドキュメントを使用して、TSplusアカウントを追加する方法の詳細を確認してください。

SMSを設定する

ユーザーがSMSで確認コードを受け取るには、まずそれを有効にする必要があります。[クリックして] SMSを設定する タブ:

TSplusは、SMSで認証コードを送信するためにTwilioを活用しています。Twilioは、TSplusとは提携していないサードパーティのクラウドプラットフォームです。

無料アカウントを作成してください Twilio 以下の「Twilioで無料トライアルを開始する」ボタンをクリックしてください。

Configure SMS

あなたの Twilioアカウントダッシュボードトライアル番号をアクティブにする必要があります。

Configure SMS

次のステップは、トライアル版にのみ必要です。これにより、TwilioはSMSが送信される実際の電話番号を確認できます。

この番号を以下に入力してください「電話番号」メニュー - 「確認済みの発信者ID」タブ :

Configure SMS

アカウントSID、認証トークンを入力できるようになります。 試用番号 電話番号としての SMSを設定する TSplusのタブ:

Configure SMS

次に、保存をクリックします。次のメッセージが表示されます：

Configure SMS

Twilioのサブスクリプションは、で管理できます。 Twilioのサブスクリプションを管理する セクション、の下部に SMSを設定する アカウントを管理し、サービスのステータスを確認するか、該当するボタンをクリックするだけでTwilioサポートセンターにアクセスできます。

メールを設定する

ユーザーがEMAILで確認コードを受け取るには、まずSMTPメールを設定する必要があります。

Configure EMAIL

ユーザーが認証アプリでTSplusアカウントを設定すると、パスワードと認証アプリから提供されたコードを使用して、SMSまたはメールで接続できるようになります。

TSplus Remote Access Webポータルから:

TSplusが生成したクライアントから:

TSplus アプリケーションサーバーとクライアントデバイスは、同じ時間を共有する必要があります。これは、サーバーの時間と日付がタイムサーバーと同期されている必要があることを意味します。クライアントデバイスも、設定されているタイムゾーンに関係なく、時間の同期が必要です。

デバイスの日時が同期されていない場合、またはサーバーの日時が同期されていない場合、認証リクエストは拒否される可能性があります。

デバイスとサーバー間の情報の検証はUTC時間に関連しています。

中で設定セクション、ディスクリペンシーパラメータは、コードの有効期間を30秒の間隔で管理するために使用されます。

認証の検証または有効な認証の例：

サーバーはタイムサーバーと同期しており、タイムゾーンはUTC + 2で、午後2時30分です。
デバイスはタイムサーバーと同期しており、タイムゾーンはUTC + 1で、午後1時30分です。
不一致パラメータは60に設定されており、すなわちコードの有効期限は30分です。
UTC時間を参照すると、デバイスの時間とサーバーの時間は同一です。

認証の有効または無効の例:

サーバーはタイムサーバーと同期しており、タイムゾーンはUTC + 2で、午後2時30分です。
デバイスはタイムサーバーと同期しておらず、タイムゾーンはUTC-1で、時間は手動で午後1時30分に設定されています。
不一致パラメータは60に設定されており、すなわちコードの有効期限は30分です。
サーバー時間はUTC時間の午前12時30分を指します。
デバイスによって通知された時間は、UTC時間で午後2時30分です。
差は120分であるため、検証コードは拒否されます。

設定

設定タブでは、あなたが ユーザーをホワイトリストに登録し、RDPクライアントを使用して接続できるようにし、二要素認証コードを入力する必要をなくします。

「ユーザーを追加するには「追加」ボタンをクリックし、ユーザーを選択して「削除」ボタンをクリックすることでユーザーを削除します。」

Two-factor Authentication-Settings