ワンタイムパスワードの設定#

注)SSL-VPNコネクションの作成時に、リクエストボディの "otp"をfalseに指定した場合は、ワンタイムパスワードは使用しませんので、この設定は不要です。

ワンタイムパスワードのシークレットキー発行#

SSL-VPN接続に利用するワンタイムパスワードのシークレットキー(シード)を発行します。

  • シークレットキーはユーザーごとに必要です。
  • シークレットキーは生成後、APIによる確認・参照ができないため、作成直後に控えておき、紛失しないよう管理してください。
  • シークレットキーの紛失などにより再発行する場合は、該当ユーザーのシークレットキーをAPIで無効化(削除)したあと、再度シークレットキーを生成してください。

ワンタイムパスワードのシークレットキーの発行では、APIを使用します。

本ガイドでは、IaaSポータルの [API実行] を使用します。 [API実行]の詳細は、API実行-IaaSポータル編をご参照ください。


1 . IaaSポータルのサイドバーから [API実行] をクリックします。

2 . API実行画面でリクエスト欄(リージョン、HTTPメソッド、エンドポイント、URI)、リクエストボディを入力し、[API実行]をクリックします。
APIはCreate SSL VPN OTP Seedを使用します。

■リクエスト

項目 設定値
リージョン jp-east-3
HTTPメソッド POST
エンドポイント nfv
URI /vpn/nfv/ssl-vpn-v3-connections/<SSL-VPN V3コネクションのID>/otp

※リージョンは東日本リージョン3の場合は "jp-east-3"ですが、西日本リージョン3の場合は"jp-west-3"を設定します。

URIの <SSL-VPN V3コネクションのID> は、SSL-VPNコネクション(SSL-VPN V3)を作成のレスポンスボディで返されたIDを設定します。

■クエリパラメーター
 なし

■HTTPヘッダ
 自動設定されます。(変更不要)

■リクエストボディ

APIの実行はSSL-VPN V3を作成したプロジェクトに所属するユーザーで行い、user_idにはそのユーザーIDを指定してください。


{		
  "ssl_vpn_v3_connection": {
  "user_id": "2289xxxxxxxxxxxxxxxxxxxxxxxxxxxx"
  }
}

Note

ユーザーIDは以下のいずれかの方法で確認できます。
- 全体管理者ロールを付与されたアカウントで管理ポータルの「IaaS管理」>「ユーザー管理」 で確認する。
- 本書「はじめに」の(オプション)作成ユーザーの認証方式変更、またはSSL-VPN接続の「証明書のダウンロード」 の手順内で発信される、証明書ダウンロードのURL通知メールに記載されているユーザーIDを確認する。
(通知メールに記載されているユーザーIDは"fjfcx-英数字文字列"の形式ですが、user_idには、先頭の"fjfcx-"を除いた英数字文字列の部分を設定します。)



■API実行パラメーター
自動設定されます。(変更不要)

API実行画面例

3 . 入力値を確認して、[ API実行 ] をクリックします。

4 . APIが正常終了すると、レスポンスの"Response"に201が返されレスポンスボディが表示されます。レスポンスボディの"seed"の値(シークレットキー)を控えてください。この後のワンタイムパスワードの設定で使用します。
 シークレットキーは後からAPIなどで参照できませんので、紛失しないよう注意してください。

{		
  "Response": 201,  
  "Header": {  
  ・・・・・  
  ・・・・・		
  ・・・・・
  },
  "Body": {
    "ssl_vpn_v3_connection": {
    "user_id": "2289xxxxxxxxxxxxxxxxxxxxxxxxxxxx",
    "seed": "G4RXXXXXXXXXXXXXXXXXXXXXXXXXXXX"          ※この値を控えておいてください
    }
  }	
}

OAuthクライアントの設定#

SSL-VPN接続時のワンタイムパスワードを発行するクライアントソフトウェアを設定します。

SSL-VPN接続ではTOTPによる認証を行っています。
TOTPをサポートするOAuthクライアントに、ワンタイムパスワードのシークレットキー発行で発行したシークレットキー(シード)を設定し、ワンタイムパスワードを発行できるようにしてください。
※ OAuthクライアントは、Microsoft Authenticator、Google Authenticator、WinAuth、 Authyなどが該当します。

本ガイドではWinAuthのケースを例示します。

  1. Webページ(https://winauth.github.io/winauth/download.html) からWinAuthをダウンロードします。

  2. ダウンロードしたzipファイルを解凍し、WinAuth.exeを起動します。

  3. WinAuth.exeを起動し、「Add」→「Authenticator」をクリックします。

4. Add Authenticator画面のパラメーターに以下を設定します。

  • Name : 任意の名称を設定します。本ガイドでは「FJcloudvpn」と設定します。
  • 1.Enter the Secret Code for your authenticator.・・・ : シークレットキー(シード)を設定します。
  • 2.Choose if tis is a time-based or a counter-based authenticator. ・・・ : "Time-based"を選択します(デフォルト)

5. 設定したパラメーターを確認し、"3.Click the Verify button to check the first code" の「Verify Authenticator」をクリックします。"4.Verify the following code matches your service" に6桁のワンタイムパスワードが表示されることを確認できたら「OK」をクリックします。

6. 上記でWinAuthの設定は終了ですが、シークレットキーをパスワードで保護する必要がある場合は、"Protection"画面の"Password"、"Verify"に任意のパスワードを設定します。※"Password"、"Verify"には同じパスワードを設定してください。