認証ドメインとは
定義: 認証ドメインは、WiKID における認証権限の論理的な区画です。1行説明: ドメインはどのデバイスがどのサーバーに対して認証を行うかを決める識別単位です。
ポイント:
- 1つのデバイスは複数のドメインに参加できます。
- 1台の WiKID Strong Authentication Server は複数ドメインを提供できます。
- ドメインは同一サーバー上でも、別々の物理サーバー上でも構成できます。
重要: ドメインは管理上の分離やポリシー適用の単位です。誤ったドメイン設定はユーザのロックアウトや認証失敗を招きます。
12桁コードの意味と使い方
定義: 12桁コードは、デバイスプロビジョニングで使用するドメイン識別子です。1行説明: 実際にはゼロ埋めされた IPv4 アドレスか、wikidsystems.net 上のプレフィックスを指します。
詳細:
- 例: パブリック IP 27.232.7.14 は “027232007014” と表現されます。
- 非ルーティングの IP を使う場合、wikidsystems.net のサービスを利用して任意の 12 桁コード(例: 999888777666)を指定できます。
- 必要に応じてクライアントの DNS を上書きするために jw.properties をカスタム配布する方法があります。
注意: Server Code は必ず 12 桁に正確に合わせる必要があります。桁数や形式が間違っていると登録できません。
図 12 – ドメイン構成画面
管理コンソールでのドメイン作成手順(概要)
- ヘッダーの [Domains] を選択して現在のドメイン一覧を表示します。
- [Create New Domain] をクリックして新規ドメイン作成画面を開きます。
- 以下のパラメータを入力します(下記に項目ごとの説明あり)。
- Create を押してドメインを追加します。
- ドメイン一覧に新規ドメインが表示され、[Main] を選択するとサーバーがそのドメインを配信していることが確認できます。
図 13 – ドメイン構成パラメータ
図 14 – 現在のドメイン
図 15 – ドメイン設定後の概要画面
ドメイン設定項目の詳細と運用上の推奨値
各設定について、意味と運用上の考え方を示します。ここではセキュリティと可用性のバランスを考慮した推奨を併記します。
Domain Name
- 意味: 管理画面上に表示される説明用ラベル。
- 運用: 役割や部門名を含める(例: “Tokyo-Office-2FA”)。
Device Domain Name
- 意味: クライアント(モバイル等)メニューに表示される短いラベル。
- 運用: モバイル画面に収まる短さ(10〜20文字程度)を推奨。
Minimum PIN Length
- 意味: そのドメインで許可される最小 PIN 桁数。
- 推奨: 少なくとも 4 桁以上。高セキュリティなら 6 桁以上。
- 失敗例: ユーザに 4 桁しか許可していない場合、ブルートフォースのリスクが上がる。
Passcode Lifetime
- 意味: ワンタイムパスコード(OTP)の有効期間(秒)。
- 運用: 一般的には 30~120 秒。用途や通信遅延を考慮して決定。
- 注意: 短すぎるとユーザの利便性が下がり、長すぎると不正利用リスクが上がる。
Server Code
- 意味: ゼロ埋めされた 12 桁のサーバー識別子(IP または wikidsystems.net プレフィックス)。
- 必須: 正確に 12 桁で入力すること。
Max Bad PIN Attempts
- 意味: デバイスが入力ミスした PIN の上限回数。上限超過でデバイスは無効化される。
- 推奨: 3~5 回。運用要件により調整。
Max Bad Passcode Attempts
- 意味: ユーザ ID に対するワンタイムパスコードの誤入力上限。超過すると該当ユーザが無効化される。
- 推奨: 3 回。ログとアラートを有効化して監視する。
Max Sequential Offlines
- 意味: オフラインでのチャレンジ/レスポンス認証を連続して許可する回数。これを超えるとオンライン認証を要求する。
- 運用: エンタープライズ環境でモバイルがネットワーク圏外になる場合に使用。たとえば 10 回程度。
Use TACACS+
- 意味: ドメインで TACACS+ の外部認証を利用するか否か。
- 運用: ネットワークデバイス管理者が中央集権的に認証・監査を行う場合に有効化。
重要: これらの設定はドメイン単位でのセキュリティ境界を決めます。運用中にポリシーを変更する場合は、影響範囲を事前に評価してください。
管理者のためのステップバイステップ(ミニ手順書)
- 管理者アカウントで WiKID 管理コンソールにログイン。
- [Domains] をクリック。
- [Create New Domain] を選択。
- Domain Name と Device Domain Name を入力。
- Server Code を 12 桁で入力(必要なら jw.properties を配布して DNS をカスタマイズ)。
- PIN 長さ、Passcode Lifetime、各種上限値を設定。
- Use TACACS+ を必要に応じて選ぶ。
- Create をクリックして保存。
- ドメイン一覧で新規エントリを確認し、[Main] で配信状態を確認。
- テスト用デバイスでプロビジョニングを実施し、ログと動作を検証。
役割別チェックリスト
管理者:
- 新規ドメイン名と Device Domain Name を確定したか。
- Server Code が正確に 12 桁か確認したか。
- ポリシー(PIN、パスコード有効期間、誤入力上限)を組織基準に合わせたか。
- jw.properties で必要な DNS 上書きを配布したか。
- テスト用デバイスで認証フローを検証したか。
運用担当:
- 監査ログを監視する仕組みがあるか。
- ユーザ無効化時の復旧手順を用意したか。
- オフライン回数超過時のユーザ対応フローを定義したか。
トラブルシューティングとよくある失敗例
デバイスがドメインを見つけられない
- 原因: Server Code の桁数ミス、または DNS 設定が未反映。
- 対策: 12 桁を再確認し、必要なら jw.properties を正しく配布。
ユーザがすぐにロックされる
- 原因: Max Bad PIN Attempts や Max Bad Passcode Attempts が低すぎる。
- 対策: 上限値を見直し、運用上のリカバリ手順を用意。
オフライン認証後にオンライン強制が発生する
- 原因: Max Sequential Offlines を小さく設定している。
- 対策: 設定値を適正化し、ユーザにネットワーク再接続を促す手順を用意。
セキュリティ上の推奨とリスク緩和
- Server Code を公開チャネルで配布する際は注意する。可能であれば内部用のプレフィックスや DNS を使用する。
- ワンタイムパスコードの有効期間は短めに設定し、ログで不正試行を常時監視する。
- Max Bad Attempts は攻撃緩和のため低めに設定しつつ、運用での誤ロックに備えた復旧フローを準備する。
- TACACS+ を使う場合は通信の機密性と整合性(TLS 等)を確認する。
代替アプローチと拡張
- DNS オーバーライド: jw.properties を配布してクライアント DNS を制御し、複数環境間で柔軟に Server Code を管理できます。
- 中央監査: 複数ドメインを運用する場合は、ドメイン横断での監査ダッシュボードを設けると運用負荷が下がります。
- ドメイン階層化: 大規模組織では部門毎にドメインを分け、共通ポリシーはテンプレート化して適用すると管理しやすいです。
受け入れ基準
- 管理コンソールに新規ドメインが表示されること。
- テストデバイスが指定した 12 桁コードでプロビジョニングできること。
- 設定した PIN 最小長・パスコード有効期間・誤入力上限が期待通りに動作すること。
- TACACS+ を有効にした場合は外部認証が成功すること。
要約と次のアクション
要約:
- WiKID の認証ドメインは認証の境界とポリシー適用の単位です。
- 12桁の Server Code は正確に扱う必要があります。
- 各パラメータはセキュリティと利便性のバランスで決め、テストを徹底してください。
次にやること:
- 組織のポリシーに基づいてドメインテンプレートを作成する。
- テストプランを準備し、主要な異常系(桁数エラー、誤入力上限、オフライン回数)を検証する。
- 監査ログと復旧手順をドキュメント化する。
重要: 本番環境に適用する前に必ずテスト環境での検証を行ってください。
図の ALT テキストは画面の主要要素を説明するように更新しました。管理者はスクリーンショットを参照しながら手順を進めるとミスを減らせます。
