Soliton OneGate 管理ガイド
高度な設定(認証設定(利用者ページ))

高度な設定(認証設定(利用者ページ))

利用者がログインする際の認証方式について設定します。

注意

高度な設定の設定項目(UI)について

今後のリリースで設定UIの変更をする場合があります。UIの変更に伴い、再設定が必要になる可能性があります。

  1. 「システムポリシー設定」画面で、「高度な設定」以下の「認証設定(利用者ページ)」に含まれる各設定のトグルスイッチをクリックして有効にし、設定を行う

利用できる認証方式

OneGate利用者ログインサービスで利用できる認証方式を限定する場合に設定します。

  1. 「システムポリシー設定」画面で、「利用できる認証方式」のトグルスイッチをクリックして有効にし、設定を行う

    スイッチが青くなり、設定項目が表示されます。

      

    パスワード<必須>

    ログイン時にログイン名とパスワードを使用して認証します。
    チェック固定

    統合Windows認証(Windowsのみ)

    チェックするとログイン時に統合Windows認証を行います。

    統合Windows認証は、Active Directoryドメインにログインした状態で利用できます。
    デフォルト:チェックなし

    信頼できるネットワークかつWindows OSからのアクセス時は、統合Windows認証による自動ログインを行う

    「統合Windows認証(Windowsのみ)」をチェックした場合のみ有効になります。

    チェックすると信頼できるネットワークかつWindows OSからのアクセス時は、統合Windows認証による自動ログインを行うことができます。
    デフォルト:チェックなし

    FIDO2

    チェックするとFIDO2に対応した認証デバイス(Authenticator)を使用して認証を行います。
    デフォルト:チェックなし

    UserVerification必須

    FIDO2をチェックした場合のみ有効になります。

    チェックするとログイン時に認証デバイス(Authenticator)によるユーザー検証(PINや生体認証)が必ず実行されます。

    必須にしない場合、使用する認証デバイス(Authenticator)によってはログイン時のユーザー検証は実行されません。
    デフォルト:チェックなし

    Soliton Authenticator

    チェックするとAuthenticatorを使用して認証を行います。
    デフォルト:チェックなし

    ICカード

    チェックすると対応したICカードリーダーおよびICカードを使用して認証を行います。
    デフォルト:チェックなし

    OneGateパスワード必須

    ICカードをチェックした場合のみ有効になります。

    チェックすると、ログイン時にICカードとパスワードを使用して認証します。

    顔認証

    顔認証オプションを契約している場合に表示されます。

    チェックすると顔認証情報を使用して認証を行います。
    デフォルト:チェックなし

    OneGateパスワード必須

    顔認証をチェックした場合のみ有効になります。

    チェックすると、ログイン時に顔認証とパスワードを使用して認証します。

    外部IdP認証

    チェックすると外部IdP認証設定で設定した外部IdPを使用して認証します。
    デフォルト:チェックなし

  2. すべての設定が完了したら[保存]をクリックする

注意

Microsoft 365へSAML認証する際、OneGateで多要素認証を利用していると、MFAクレームが返されます。
MFA クレームが返される条件は、以下のとおりです。

※知識・所有・生体のうち、2種類以上の認証要素を使用

認証方式 / 認証要素

知識

所有

生体

知識または生体

パスワード

統合Windows認証

FIDO2 ※1

SolitonAuthenticator ※2

ICカード ※3

顔認証 ※4

ワンタイムパスワード(メール通知)

クライアント証明書のみ認証

SSB自動認証

外部IdP認証 ※5

※1 userVerification ありの場合、デバイス側で知識・または生体で認証されます。

※2 デバイス側で知識・または生体で認証されます。

※3 パスワード必須の場合、所有かつ知識で認証されます。

※4 パスワード必須の場合、生体かつ知識で認証されます。

※5 外部IdPの返すACRに依存します。

OneGateログイン時に2ステップ認証を行う

利用者がOneGateへのログイン時に設定条件に合致し、2ステップ認証を要求する場合の認証方式と、要求条件を設定します。

  1. 「システムポリシー設定」画面で、「OneGateログイン時に2ステップ認証を行う」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定項目が表示されます。

  2. 必要な設定を行い、[保存]をクリックする

認証方式(1つ以上の選択必須)

ワンタイムパスワード(メール通知)

チェックすると、OneGateへのログイン時にFIDO2またはAuthenticator以外の認証方式で認証し、2ステップ認証が必要な条件に当てはまる場合に、OneGateからワンタイムパスワードが記載されたメールが送信されます。ワンタイムパスワードを使用して認証します。
デフォルト:チェックなし

Soliton Authenticator

チェックすると、OneGateへのログイン時にFIDO2またはAuthenticator以外の認証方式で認証し、2ステップ認証が必要な条件に当てはまる場合に、Authenticatorを使用して認証します。
デフォルト:チェックなし

顔認証

顔認証オプションを契約している場合に表示されます。
チェックすると、OneGateへのログイン時にFIDO2またはAuthenticator以外の認証方式で認証し、2ステップ認証が必要な条件に当てはまる場合に、顔認証情報を使用して認証します。
デフォルト:チェックなし

OneGateパスワード必須

顔認証をチェックした場合のみ有効になります。

チェックすると、ログイン時に顔認証とパスワードを使用して認証します。

外部IdP認証

チェックすると外部IdP認証設定で設定した外部IdPを使用して認証します。
デフォルト:チェックなし

2ステップ認証を要求する条件 (1つ以上の選択必須)

信頼できないネットワークからのアクセス

チェックすると、信頼できるネットワーク以外からアクセスした場合に、2ステップ認証が要求されます。
デフォルト:チェックなし

通常とは異なるアクティビティを検知

チェックすると、OneGate独自のルールでアクティビティを判定し、通常とは異なると判断された場合に、2ステップ認証が要求されます。
デフォルト:チェックなし

アクセス制御設定で登録した例外アプリケーションからのアクセス

チェックすると、「アクセス制御設定」-「例外を設定する」の「指定するクライアントアプリケーション」に指定されている例外アプリケーションからのアクセスの場合に、2ステップ認証が要求されます。
デフォルト:チェックなし

SAML/OpenID Connect認証時に追加認証を要求する【Standard Preview】

クラウドサービスなどでシングルサインオンした場合に設定条件に合致し、追加認証を要求する場合の認証方式と要求条件を設定します。

要求条件を複数設定する場合、設定したいずれかの条件に該当する場合に追加承認が要求されます。

  1. 「システムポリシー設定」画面で、「SAML/OpenID Connect認証時に追加認証を要求する【Standard Preview】」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定項目が表示されます。

  2. 必要な設定を行い、[保存]をクリックする

認証方式(1つ以上の選択必須)

ワンタイムパスワード(メール通知)

チェックすると、シングルサインオン時に、追加認証が必要な条件に当てはまる場合に、ワンタイムパスワードを使用して認証します。
OneGateからワンタイムパスワードが記載されたメールが送信されます。
デフォルト:チェックなし

FIDO2

チェックすると、シングルサインオンで追加認証が必要な条件に当てはまる場合に、FIDO2を使用して認証します。

UserVerification必須

FIDO2をチェックした場合のみ有効になります。
チェックするとログイン時に認証デバイス(Authenticator)によるユーザー検証(PINや生体認証)が必ず実行されます。
必須にしない場合、使用する認証デバイス(Authenticator)によってはログイン時のユーザー検証は実行されません。
デフォルト:チェックなし

Soliton Authenticator

チェックすると、シングルサインオンで追加認証が必要な条件に当てはまる場合に、Authenticatorを使用して認証します。

ICカード

チェックすると、シングルサインオンで追加認証が必要な条件に当てはまる場合に、ICカードを使用して認証します。

OneGateパスワード必須

ICカードをチェックした場合のみ有効になります。
チェックすると、ログイン時にICカードとパスワードを使用して認証します。

顔認証

顔認証オプションを契約している場合に表示されます。
チェックすると、シングルサインオンで追加認証が必要な条件に当てはまる場合に、顔認証情報を使用して認証します。

OneGateパスワード必須

顔認証をチェックした場合のみ有効になります。
チェックすると、ログイン時に顔認証とパスワードを使用して認証します。

外部IdP認証

チェックすると外部IdP認証設定で設定した外部IdPを使用して認証します。
デフォルト:チェックなし

追加認証を要求する条件(1つ以上の選択必須)

信頼できないネットワークからのアクセス、かつ2ステップ認証を行っていない

チェックすると、信頼できるネットワーク以外からのクラウドサービスにシングルサインオンし、2ステップ認証を行っていない場合に、追加認証が要求されます。
デフォルト:チェックなし

セキュリティレベル「高」のサービスへのアクセス

チェックすると、OneGate管理ページの[クラウド設定]>[サービス連携設定]の「セキュリティレベル」が「高」に設定されているクラウドサービスにシングルサインオンする場合に追加認証が要求されます。
デフォルト:チェックなし

通常とは異なるアクティビティを検知

チェックすると、OneGate独自のルールでアクティビティを判定し、通常とは異なると判断された場合に、追加認証が要求されます。
デフォルト:チェックなし

証明書のサブジェクトを利用

クライアント証明書認証が有効な場合に、ログイン画面で証明書のCN(コモンネーム)をログイン名に自動入力する機能です。

「ログイン名とクライアント証明書のCNが一致しない場合は認証しない」を有効にすると、利用者の端末にインストールされた証明書のCNとログイン時のログイン名が一致している場合のみ認証を許可するように設定できます。

  1. 「システムポリシー設定」画面で、「証明書のサブジェクトを利用」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定項目が表示されます。

  2. 必要に応じて「ログイン名とクライアント証明書のCNが一致しない場合は認証しない」をチェックし、[保存]をクリックする

    チェックなし:証明書のCNがログイン名に自動入力されます。

    チェックあり:ログイン名と証明書のCNが一致した場合のみ認証を許可します(自動入力されたログイン名は変更できません)。

クライアント証明書による自動認証

クライアント証明書認証が有効な場合、クライアント証明書のCNをログイン名として自動ログインを行う場合に設定します。

  1. 「システムポリシー設定」画面で、「クライアント証明書による自動認証」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定が有効になります。

FIDO2 Authenticatorはデバイス内蔵のもののみ登録許可する

FIDO2認証を利用する際に、端末に埋め込まれて取り外せない認証デバイス(Windows HelloやTouch IDなど)以外を登録できないように制限する場合に設定します。

  1. 「システムポリシー設定」画面で、「FIDO2 Authenticatorはデバイス内蔵のもののみ登録許可する」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定が有効になります。

顔認証のハイセキュリティモードを使用する

設定を有効にすると、顔認証の利用時にに、照合した顔画像が写真あるいは動画であることを検知した場合に、顔照合失敗となります。

  1. 「システムポリシー設定」画面で、「顔認証のハイセキュリティモードを使用する」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定が有効になります。

ChromeOS向け認証設定

サービス連携設定でGoogle Workspace連携が設定された環境では、ChromeOS端末サインイン時にOneGate認証を使用できます。

ChromeOS端末のサインインを利用する場合、以下の条件を満たす必要があります。

  1. サービス連携設定でGoogle Workspace連携が設定されている

  1. Google Workspaceアプリケーションロールが割り当てられている

  1. Google Workspaceでシングルサインオン設定が完了している

  1. Google Workspace の組織に対象のChromeOS端末が登録されている

  1. 2回目以降の認証時にユーザー名の自動入力を行う場合、Google Workspaceの組織設定でIdPログインページのユーザー名入力を自動入力(ユーザー名のパススルー)に設定している

    ユーザー名自動入力の設定条件として、利用者登録項目の[Google Workspace User]はすべて小文字で指定してください。

ChromeOS向け認証設定を有効にすると、利用者がChromeOS端末へログインする際の認証方式を設定できます。

  1. 「システムポリシー設定」画面で、「ChromeOS向け認証設定」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定項目が表示されます。

  2. 必要な設定を行い、[保存]をクリックする

利用者ログイン画面のデフォルト認証方式 (Chrome向け利用者)

ChromeOS向け利用者ログイン画面のデフォルト認証方式を設定します。

注意

「利用できる認証方式」で有効に設定されていない認証方式は設定できません。

  1. 「利用者ログイン画面のデフォルト認証方式」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定項目が表示されます。

  2. デフォルト認証方式を選択し、[保存]をクリックする

    必ず1つ以上の方式を選択してください。

      

    パスワード

    チェックすると、ChromeOS端末でのログイン時、ログイン名とパスワードがデフォルトの認証方式になります。

    FIDO2

    チェックすると、ChromeOS端末でのログイン時、FIDO2がデフォルトの認証方式になります。

    Soliton Authenticator

    チェックするとChromeOS端末でのログイン時、Authenticatorがデフォルトの認証方式になります。

    顔認証

    顔認証オプションを契約した場合のみ表示されます。

    チェックすると、ChromeOS端末でのログイン時、顔認証がデフォルトの認証方式になります。

    外部IdP認証

    チェックするとChromeOS端末でのログイン時、外部IdP認証がデフォルトの認証方式になります。

2ステップ認証のデフォルト認証方式(Chrome向け利用者)

「OneGateログイン時に2ステップ認証を行う」が有効に設定されたChromeOS向け利用者が、OneGateへのログイン時に設定条件に合致した場合のデフォルト認証方式を設定します。

注意

  1. 「OneGateログイン時に2ステップ認証を行う」で有効に設定されていない認証方式は、選択できません。

  1. 「OneGateログイン時に2ステップ認証を行う」を有効にした場合でも、OneGateへのログイン時にFIDO2またはAuthenticatorを使用して認証に成功している場合は、2ステップ認証は行われません。

  1. 「2ステップ認証のデフォルト認証方式」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定項目が表示されます。

  2. デフォルト認証方式を選択し、[保存]をクリックする

    必ず1つ以上の方式を選択してください。

      

    ワンタイムパスワード(メール通知)

    チェックすると、OneGateへのログイン時にFIDO2またはAuthenticator以外の認証方式で認証し、2ステップ認証が必要な条件に当てはまる場合に、OneGateからワンタイムパスワードが記載されたメールが送信されます。

    ワンタイムパスワードを使用して認証します。

    Soliton Authenticator

    チェックすると、OneGateへのログイン時にFIDO2またはAuthenticator以外の認証方式で認証し、2ステップ認証が必要な条件に当てはまる場合に、Authenticatorを使用して認証します。

    顔認証

    顔認証オプションを契約している場合のみ表示されます。

    チェックすると、OneGateへのログイン時にFIDO2またはAuthenticator以外の認証方式で認証し、2ステップ認証が必要な条件に当てはまる場合に、顔認証情報を使用して認証します。

    外部IdP認証

    チェックすると、OneGateへのログイン時にFIDO2またはAuthenticator以外の認証方式で認証し、2ステップ認証が必要な条件に当てはまる場合に、外部IdP認証を使用して認証します。

SAML/OpenID Connect認証時の追加認証のデフォルト認証方式

「SAML/OpenID Connect認証時に追加認証を要求する【Standard Preview】」が有効に設定されたChromeOS向け利用者が、OneGateへのログイン時に設定条件に合致した場合のデフォルト認証方式を設定します。

注意

「SAML/OpenID Connect認証時に追加認証を要求する【Standard Preview】」で有効になっていない認証方式は、選択できません。

  1. 「SAML/OpenID Connect認証時の追加認証のデフォルト認証方式」のトグルスイッチをクリックして有効にする

    スイッチが青くなり、設定項目が表示されます。

    ChromeOS向け認証設定が有効な場合、利用者がChromeOS端末へログインする際の認証方式について設定できます。

  2. デフォルト認証方式を選択し、[保存]をクリックする

    必ず1つ以上の方式を選択してください。

      

    ワンタイムパスワード(メール通知)

    チェックすると、シングルサインオン時に、追加認証が必要な条件に当てはまる場合に、ワンタイムパスワードを使用して認証します。

    OneGateからワンタイムパスワードが記載されたメールが送信されます。

    FIDO2

    チェックすると、シングルサインオン時に、追加認証が必要な条件に当てはまる場合に、FIDO2を使用して認証します。

    Soliton Authenticator

    チェックすると、シングルサインオン時に、追加認証が必要な条件に当てはまる場合に、Authenticatorを使用して認証します。

    顔認証

    チェックすると、シングルサインオン時に、追加認証が必要な条件に当てはまる場合に、顔認証情報を使用して認証します。

    外部IdP認証

    チェックすると、シングルサインオン時に、追加認証が必要な条件に当てはまる場合に、外部IdP認証を使用して認証します。