AD連携の認証とは
Microsoft Active Directory(以下、AD)と連携する「AD連携」の認証についてご案内します。
ここでは具体的に、認証の仕組みや AD停止時の挙動、パスワード関連の仕様や設定方法、 パスキーや多要素認証などと併用した際の動作について解説します。
AD連携時のサインオンの仕組み
AD連携により、Windowsのログオンに使用している IDとパスワードで CloudGate UNO へのサインオンが可能になります。
CloudGate UNO は、サインオン時に AD側へユーザーオブジェクトの存在と有効性をリアルタイムで確認します。その後、 CloudGate UNO で設定している認証方法によって挙動がそれぞれ異なります。
パスワード変更の仕様と運用設定
AD連携の利用中も、ユーザーは CloudGate UNO の画面から Windowsのパスワードを変更できます。 この機能を利用するには、AD側の接続用アカウントへ「パスワードリセット権限」の付与が必要です。 ただし権限がない場合、 CloudGate UNO からのパスワード変更でエラーが発生します。そのため、ログイン操作中に有効期限切れなどでパスワード変更を求められた場合、変更を完了できずログインも失敗しますのでご注意ください。
CloudGate UNO からパスワードを変更する際は、ADと CloudGate UNO 両方のパスワードポリシーを満たす必要があります。実運用では、ADのパスワードポリシーを優先し、 CloudGate UNO 側の制限をあえて緩和する構成が一般的です。これにより、AD側のパスワードポリシーを共通の基準として管理できます。 なお、AD側で直接パスワードを変更する際は、ADのパスワードポリシーにのみ準拠していれば変更可能です。
パスワード関連の推奨設定
ADのパスワードポリシーを優先させるため、 CloudGate UNO では各項目に下記の設定値を推奨しています。
| 設定箇所 | 設定項目 | 推奨値 |
|---|---|---|
| ユーザーハブでパスワード変更を許可する | いいえ | |
| 必須文字数 | 最小の8文字 | |
| 必須文字種別 | チェックなし | |
| パスワード有効期限 | 0日 | |
| 前回パスワード入力 | 許可する | |
| パスワード有効期限事前通知 | 無効 |
パスキー・多要素認証などの併用時の動作
CloudGate UNO は、ユーザーのサインオン時に対象のユーザーIDが AD上に存在するか確認します。 AD側でユーザーオブジェクトが存在し有効性が確認された後に、以下の各認証処理が実行されます。
パスワードレス認証の場合
AD側にユーザーオブジェクトの存在が確認された後、 CloudGate UNO 側でパスキーや CloudGate Authenticator(CGA) による認証処理が行われます。 この際、AD側へのパスワード認証リクエストは行われません。
多要素認証(MFA)を利用する場合
AD側へのパスワード認証が成功した後に、 CloudGate UNO 側でパスキーやワンタイムパスワードなどの追加の認証要素による検証が行われます。
ADと接続停止時のサインオン(認証キャッシュ)
認証キャッシュはユーザーアカウントごとに保持され、最後にサインオンに成功してから最長で 48時間(2日間)有効です。保持期間の設定・変更方法は、 認証キャッシュの期間を変更する をご確認ください。
認証キャッシュと認証状態保持の併用に関する注意
- 優先順位: 認証キャッシュよりも認証状態保持が優先されます。 ADへの接続ができない場合でも認証状態保持が有効な状態であればサインオンが可能です。
- 認証キャッシュの更新: 認証キャッシュはサインオン成功時に最新の認証情報で上書きされます。 認証状態保持によって認証のステップが省略されている間は、キャッシュは更新されません。
- 認証方法の変更: 認証キャッシュは最新の認証方法のみ保持します。パスワード認証からパスワードレス認証へ切り替えた直後など、 保持されている認証キャッシュと現在の認証方法が一致しない場合は利用できません。
- 期間の設定: 認証状態保持の期間が認証キャッシュの期限(最長2日間)を超えている場合、 緊急時に認証キャッシュの期限切れで使えないリスクがあります。 緊急時に備え、認証状態保持の期間は、認証キャッシュの設定期間内に収めることをお勧めします。
