VMware SD-WAN Orchestratorにログインするときに2要素認証を利用してみた
はじめに
今年も残りわずかとなりました。
日々忙しい日々を過ごされている方も多いかと思います。
長期休暇明けに気をつけたいのがセキュリティ、、ということで(?)
今回はVMware SD-WAN Orchestratorにログインするときに利用できる2要素認証についてご紹介したいと思います。
多要素認証について
最近では、SaaSにログインする時に多要素認証を利用することが多くなりました。VMware SD-WANでもSaaSと同じようにユーザーがOrchestratorにログインするときに2要素認証を利用できます。VMware SD-WANの2要素認証では「SMS」を利用します。
VMware SD-WANのログインに利用する認証モードは、Orchestratorに設定したユーザー名、パスワードを利用する「ネイティブ(NATIVE)」と認証IDプロバイダーと連携する「SSO」の2つのモードが存在します。本ブログでは、Orchestratorにログインする認証モードは「ネイティブ (NATIVE)」の利用を前提としています。
2要素認証の設定
2要素認証の利用には、以下のステップが必要です。
1. ユーザーアカウントに携帯電話番号を設定
2. 販売代理店またはVMware サポートに2要素認証機能の有効化を依頼
3. 販売代理店またはVMware サポートがカスタマーテナントの機能を有効化
4. ユーザーアカウントで2要素認証が有効化されたことを確認
カスタマーテナントで2要素認証が有効化されているかについては、以下より確認できます。
・Orchestratorの 左メニュー「管理」→「システム設定」をクリック
・「全般情報」の「2要素認証の有効化」のチェックボックスを確認
例:2要素認証が有効になっている場合
VMware SD-WANのカスタマー権限(いわゆる利用者)では、上記キャプチャ「2要素認証の有効化」の有効/無効チェックボックスは操作できません。事前にユーザーアカウントにSMSを受信する携帯電話番号を設定してからパートナー権限を持つ販売代理店またはVMware サポートにSRをあげてカスタマーテナントの2要素認証を有効化してもらう必要があります。全てのユーザーで2要素認証の利用を必須にしたい場合は、「2要素認証が必要」も一緒に有効にしてもらいます。「2要素認証が必要」を有効にする場合は、カスタマーテナントに登録されているすべてのユーザーで携帯電話番号の登録が必要です。「2要素認証が必要」が無効な場合は、携帯電話番号が登録されたユーザーのみ2要素認証が利用できるようになります。
ユーザーアカウントには以下のように携帯電話番号を設定します。
・プルダウンより国番号を選択
・SMSを受信する携帯電話番号を090-1234-5678のような形式で記載
・右上の「変更の保存」ボタンをクリックして設定を反映
販売代理店またはVMwareサポートが2要素認証を有効化すると携帯電話番号が登録されているユーザーは2要素認証が利用できるようになります。2要素認証が有効化されると、Orchestratorにログイン時にログインID、パスワードを入力した後、下記のように2要素認証のパスワード入力画面が表示されるようになります。
なお、SMSはUS(+1)から発呼されます。(2022年12月時点)
「2要素認証の有効化」が有効、「2要素認証が必要」が無効な場合は、カスタマーテナントのすべてのユーザーに携帯電話番号を登録しなくてもカスタマーテナントで「2要素認証を有効化」することはできます。
ただし、「2要素認証の有効化」がオンになるとカスタマーテナントに登録されたすべてのユーザーの2要素認証は「有効」になります。そのため、2要素認証が有効化された後でユーザーの携帯電話番号を登録すると自動的に次回ログインより2要素認証が有効になります。この環境において、新規ユーザーを作成する場合は、携帯電話番号の登録が必須となります。
この環境ではカスタマー管理者が個別のユーザーごとに2要素認証利用のオン/オフを設定することもできます。その場合は、Orchestratorの管理者ページから2要素認証を利用するユーザーの設定画面を開きユーザーの携帯電話欄の下にある「2要素が有効」チェックボックスを有効/無効にして設定を保存します。
※ログインで使用しているアカウントの「2要素が有効」チェックボックスは操作できません
例:ログインしているユーザー以外のアカウントで2要素認証が有効になっている場合
2要素認証を利用できるユーザーは、「管理者」一覧の「2要素」列より確認できます。
例:2要素認証を利用できるユーザー
まとめ
今回の記事のまとめです。
Q. VMware SD-WANの2要素認証は何が利用できるか?
A. VMware SD-WANのOrchestratorにログインするときの2要素認証として、SMSを利用できます。
Q. どこを確認すれば2要素認証の利用ができるかわかるのか?
A. 左メニューの「管理」→「システム設定」の「全般情報」より確認できます。
Q. VMware SD-WANの2要素認証を利用するにはどうすれば良いか?
A. ユーザーアカウントに携帯電話を設定した後、販売代理店もしくはVMwareサポートに依頼してください。販売代理店またはVMwareサポートがテナントの2要素認証を有効化します。機能がテナントで有効化されると携帯電話番号が登録されたユーザーで2要素認証が利用できます。
Q. VMware SD-WANの2要素認証を必須にすることはできるか?
A. できます。初回の有効化までにすべてのユーザーで携帯電話番号の登録が必須になります。
Q. VMware SD-WANの2要素認証をユーザーごとに有効/無効にできるか?
A. 「2要素認証が必要」が無効な場合はできます。初回の有効化直後は、すべてのユーザーで有効化されます。カスタマー管理者がユーザー画面より「2要素が有効」チェックボックスを個別にオン/オフすることができます。
※ログインで使用しているアカウントの操作はできません。
Q. VMware SD-WANの2要素認証を利用する場合の携帯電話番号はどこに設定すれば良いか?
A. ユーザーアカウントの「携帯電話」欄に以下を設定してください。
・プルダウンより国番号を設定(日本は+81)
・SMSを受信する携帯番号を「090-1234-5678」のような形式で記載する
Q. 2要素認証にはSMSを利用するが、発信元はどこか?
A. USから発呼されます。(2022年12月確認)
今回はVMware SD-WANのOrchestratorログイン時に利用できる2要素認証についてご紹介しました。2要素認証を利用することでログインの安全性が高まるため、2要素認証の利用をおすすめします。
2要素認証に関するVMwareドキュメント
「全般情報 (General Information)」