構築事例：多要素認証にTOTPを利用したKeycloakサーバ導入

お客様は、以前より弊社でKeycloakを使ったシングルサインオンサーバを導入し、運用されていました。ID/PW管理だけでは、運用の際にセキュリティ上で不安というご要望から、TOTPを使った多要素認証を行う認証システムを提案しました。TOTPとは、「Time-based One-Time Password」の略称で、一度しか利用できない「ワンタイムパスワード」の一種です。時間の経過とともにパスワード（番号）が変化し、生成されるパスワードは30秒から1分ほどで切り替わります。そのため、不正アクセスなどのリスクを抑えられるのが特徴です。

最近では、クラウドサービスなどシステムの利用が増え、固定のID/パスワードのみの認証方式では、不正アクセスやなりすましのリスクが高いとされています。安全性を確保するために、ワンタイムパスワードが用いられることが増えています。TOTP認証を多要素認証として導入することで、専用の機器などを導入せずに二要素認証を行うことができるようになります。ユーザには、なるべく利用にあたって手間を増やさないように、ワンタイムパスワードの長さ、有効期限を調整し、導入しました。

認証方法をユーザによって変更する

しかし、すべての認証を多要素にすることは、セキュリティ面では安心ですが、運用が手間という課題がありました。そこで、社内からアクセスした場合は信頼できる接続元のため多要素認証はなし、社外などの外から接続された場合は、多要素認証が必須となるように、Keycloakのプラグインを開発し導入を提案しました。ユーザは、TOTP認証する際に、画面に表示されるQRコードを読み込む、または、画面に表示されたキー文字列を直接入力することを選択することができるようにしました。

導入にあたっての工夫

システムの導入にあたり、以下を工夫しました。

拡張性を持たせる

現在導入しているKeycloakは、お客様のご要望により今後も拡張していく可能性があると考えました。そのため、認証失敗の数をカウントして、ロックがかかるなど、より安全に使える機能を組み込みやすいようにプラグインを開発しました。

テスト運用期間を設ける

利用者向けの利用マニュアルが作成できるように、テスト運用期間を設けました。導入後、運用する際に突然TOTP認証を導入すると、利用者は混乱してしまうかもしれないことを想定し、お客様の一部の接続のみTOTPが必要な状態にしました。管理者がTOTPの設定方法や認証方法のマニュアルを作成できる状態にし、運用中のトラブルを未然に防げるようにしました。

認証サーバ構築の事例一覧

• OpenLDAPによるLDAPサーバのユーザ統合管理システム事例
• OpenLDAPによるLDAPサーバのマルチマスタ構成事例
• LDAPサーバ冗長化事例
• RADIUSサーバ事例
• CaptivePortalを利用したSNS認証事例
• Google AuthenticatorとFreeRADIUSを使ったOTP認証事例
• daloRADIUSを使用したRADIUSサーバ事例
• 389 Directory Serverを利用したLDAPサーバ事例
• OpenXPKIを利用したプライベート認証局事例
• Nginxを利用したクライアント認証サーバ導入事例
• FreeRADIUSを利用した認証サーバ事例
• Amazon Linux 2へ認証サーバOSの移行事例
• Keycloakを利用したシングルサインオン認証サーバの導入事例
• 管理の負担を軽減したKeycloakによるシングルサインオンサーバ構築事例
• 多要素認証にTOTPを利用したKeycloakサーバ導入事例