ARCACLAVIS Ways ARCACLAVIS Ways
多要素認証、シングルサインオンがオールインワン

アルカクラヴィス ウェイズ

多要素認証

多要素認証とは?

多要素認証とは、これまでのID/パスワードによるWindowsログオン認証を、ICカードや指静脈/顔などの生体情報など二つ以上の要素で行う認証のことです。例えば「カードを持っている」と「暗証番号を知っている」の2つの条件が揃えば、銀行のATMからお金を引き出せるように、その多要素認証を通常のPCや、シンクライアント/ゼロクライアント端末(仮想環境)でシステムへの入り口となる認証に利用できるということです。

ユーザAさんはPC(1)だけ、PC(2)はユーザBさんとCさんのみ利用可能など、ユーザとPCの利用可否を細かくコントロールできますか?

はい、可能です。 1台のPCを特定の個人にしか利用させない、または1台のPCを複数人で利用させるなど、ユーザとPCの組み合わせによる利用制御ができます。

1枚のICカードに複数のWindowsアカウントを登録することは可能ですか?

はい、可能です。 例えば1枚のICカードで、通常は「UserA」というアカウントを利用し、情報システム業務の時だけ「Administrator」というアカウントを利用することができます。 アカウントの切り替えには、ログオンし直す必要があります。

既に配布済みのICカードを社員証/職員証として使っているのですが、そのカードを利用することはできますか?

はい、可能です。 対応しているICカードであれば、再フォーマットや改めて回収・再配布をする必要はありません。 対応している認証デバイスについては[動作環境]ページをご参照ください。

シングルサインオン

シングルサインオン機能はどのようなアプリケーションに対応していますか?

Webフォーム認証、Webベーシック認証、Win32アプリケーションに対応しています。 「フォーム認証」とはWebブラウザで利用するログインフォームでの認証です。 「ベーシック認証」とは、Webサーバとの間で認証する技術のひとつで、HTTPの要求/応答を使用します。イントラネット上で共有フォルダなどにアクセスする際にも利用されています。 「Win32アプリケーション」とは、32ビットプロセッサ用のWindowsアプリケーションソフトウェアが要求する認証のことです。

シングルサインオン機能で対応していない認証画面は何ですか?

ほぼすべての認証画面に対応可能です。しかしながら対応不可のケースもございますので、確認用のツールをご用意しております。詳しくはお問い合わせください。

各アプリケーションへのログイン用のID(アカウント)は同じでないと利用できませんか?

いいえ。各アプリケーションのID(アカウント)・パスワードが異なっていてもシングルサインオン可能です。同じアプリケーションに対して複数のIDを利用して、シングルサインオンすることも可能です。

利用者が違うPCを使っても、同じシングルサインオン情報を使えますか?

はい。シングルサインオン認証のユーザが同じであれば、PCやシンクライアント端末など、環境が異なっていても同じシングルサインオン情報が使えます。一人で複数台の利用環境でも、シングルサインオンを適用できます。

シングルサインオンの入り口が破られるとすべてのアプリケーションが使われてしまいそうで不安です。

入り口のセキュリティは重要です。ARCACLAVIS Waysは、ICカード認証や指静脈/顔などの生体認証に対応しているので、シングルサインオンと入り口のセキュリティ強化を同時に行えます。

サーバ

Active Directoryは必要ですか?

いいえ、不要です。 Active Directoryがない環境でもお使いいただけます。 Active Directoryがある環境では、Active Directory環境へのログオン認証強化はもちろん、Active Directoryを利用した連携により、ユーザ登録、削除などの自動化も可能です。

サーバが停止した場合には運用が止まることがありますか?

いいえ、ありません。 クライアントPCでキャッシュログオンを利用する設定になっていれば、ログオンおよび各種アプリケーションへのログインなどへの影響は無く、日常運用が停止することはありません。

操作・利用方法

クライアント端末にエージェントモジュールのインストールが必要ですか?

はい、必要です。 ユーザ権限でもインストールが可能です。またワンクリックでのインストールやActive Directory、資産管理アプリケーションを利用した配布・インストールも可能です。

利用者がICカードなどの認証デバイスを自宅に忘れたり、指をケガしてしまって生体認証が通らないなどの緊急時の対応方法はありますか?

はい、あります。 管理者が発行した「期限付きの緊急パスワード」で認証デバイスが無くても一時的に本人認証をすることが可能です。 シングルサインオンなどの機能もそのままご利用できます。

ユーザのアクセスログは取得できますか?

はい、可能です。 デバイス認証やシングルサインオン利用時のログを記録します。ログオンアカウントが共有アカウントでもICカードや生体などの認証要素に固有に付与できる識別子で個人を特定できます。

導入検討している運用環境は利用者数がとても多いのですが、ユーザ登録作業が大変ではありませんか?

サーバへのユーザ登録は、GUI で1件ずつ登録する方法の他、 あらかじめ必要な項目を設定した CSV ファイルをインポートすることにより大量の利用者の発行情報を一括登録することができます。「Active Directory連携機能」を利用すると、Active Directory上のユーザ情報を同期することも可能です。

方法が分かれば、ユーザはクライアント端末にインストールされたWaysクライアントをアンインストールすることができますか?

いいえ、できません。 Waysクライアントをアンインストールするためには、管理者パスワードを入力する必要があります。通常、管理者パスワードは、情報システム部門などのシステム運用管理者の方のみが把握し、ユーザには伝えません。