ワンタイムパスワードの設定#
注)SSL-VPNコネクションの作成時に、リクエストボディの "otp"をfalseに指定した場合は、ワンタイムパスワードは使用しませんので、この設定は不要です。
ワンタイムパスワードのシークレットキー発行#
SSL-VPN接続に利用するワンタイムパスワードのシークレットキー(シード)を発行します。
- シークレットキーはユーザーごとに必要です。
- シークレットキーは生成後、APIによる確認・参照ができないため、作成直後に控えておき、紛失しないよう管理してください。
- シークレットキーの紛失などにより再発行する場合は、該当ユーザーのシークレットキーをAPIで無効化(削除)したあと、再度シークレットキーを生成してください。
ワンタイムパスワードのシークレットキーの発行では、APIを使用します。
本ガイドでは、IaaSポータルの [API実行] を使用します。 [API実行]の詳細は、API実行-IaaSポータル編をご参照ください。
1 . IaaSポータルのサイドバーから [API実行] をクリックします。
2 . API実行画面でリクエスト欄(リージョン、HTTPメソッド、エンドポイント、URI)、リクエストボディを入力し、[API実行]をクリックします。
APIはCreate SSL VPN OTP Seedを使用します。
■リクエスト
項目 | 設定値 |
---|---|
リージョン | jp-east-3 |
HTTPメソッド | POST |
エンドポイント | nfv |
URI | /vpn/nfv/ssl-vpn-v3-connections/<SSL-VPN V3コネクションのID>/otp |
※リージョンは東日本リージョン3の場合は "jp-east-3"ですが、西日本リージョン3の場合は"jp-west-3"を設定します。
URIの <SSL-VPN V3コネクションのID> は、SSL-VPNコネクション(SSL-VPN V3)を作成のレスポンスボディで返されたIDを設定します。
■クエリパラメーター
なし
■HTTPヘッダ
自動設定されます。(変更不要)
■リクエストボディ
APIの実行はSSL-VPN V3を作成したプロジェクトに所属するユーザーで行い、user_idにはそのユーザーIDを指定してください。
例
{ "ssl_vpn_v3_connection": { "user_id": "2289xxxxxxxxxxxxxxxxxxxxxxxxxxxx" } }
Note
ユーザーIDは以下のいずれかの方法で確認できます。
- 全体管理者ロールを付与されたアカウントで管理ポータルの「IaaS管理」>「ユーザー管理」 で確認する。
- 本書「はじめに」の(オプション)作成ユーザーの認証方式変更、またはSSL-VPN接続の「証明書のダウンロード」 の手順内で発信される、証明書ダウンロードのURL通知メールに記載されているユーザーIDを確認する。
(通知メールに記載されているユーザーIDは"fjfcx-英数字文字列"の形式ですが、user_idには、先頭の"fjfcx-"を除いた英数字文字列の部分を設定します。)
■API実行パラメーター
自動設定されます。(変更不要)
API実行画面例
3 . 入力値を確認して、[ API実行 ] をクリックします。
4 . APIが正常終了すると、レスポンスの"Response"に201が返されレスポンスボディが表示されます。レスポンスボディの"seed"の値(シークレットキー)を控えてください。この後のワンタイムパスワードの設定で使用します。
シークレットキーは後からAPIなどで参照できませんので、紛失しないよう注意してください。
{ "Response": 201, "Header": { ・・・・・ ・・・・・ ・・・・・ }, "Body": { "ssl_vpn_v3_connection": { "user_id": "2289xxxxxxxxxxxxxxxxxxxxxxxxxxxx", "seed": "G4RXXXXXXXXXXXXXXXXXXXXXXXXXXXX" ※この値を控えておいてください } } }
OAuthクライアントの設定#
SSL-VPN接続時のワンタイムパスワードを発行するクライアントソフトウェアを設定します。
SSL-VPN接続ではTOTPによる認証を行っています。
TOTPをサポートするOAuthクライアントに、ワンタイムパスワードのシークレットキー発行で発行したシークレットキー(シード)を設定し、ワンタイムパスワードを発行できるようにしてください。
※ OAuthクライアントは、Microsoft Authenticator、Google Authenticator、WinAuth、 Authyなどが該当します。
本ガイドではWinAuthのケースを例示します。
-
Webページ(https://winauth.github.io/winauth/download.html) からWinAuthをダウンロードします。
-
ダウンロードしたzipファイルを解凍し、WinAuth.exeを起動します。
-
WinAuth.exeを起動し、「Add」→「Authenticator」をクリックします。
4. Add Authenticator画面のパラメーターに以下を設定します。
- Name : 任意の名称を設定します。本ガイドでは「FJcloudvpn」と設定します。
- 1.Enter the Secret Code for your authenticator.・・・ : シークレットキー(シード)を設定します。
- 2.Choose if tis is a time-based or a counter-based authenticator. ・・・ : "Time-based"を選択します(デフォルト)
5. 設定したパラメーターを確認し、"3.Click the Verify button to check the first code" の「Verify Authenticator」をクリックします。"4.Verify the following code matches your service" に6桁のワンタイムパスワードが表示されることを確認できたら「OK」をクリックします。
6. 上記でWinAuthの設定は終了ですが、シークレットキーをパスワードで保護する必要がある場合は、"Protection"画面の"Password"、"Verify"に任意のパスワードを設定します。※"Password"、"Verify"には同じパスワードを設定してください。