OneLogin DesktopでMacにログインできたらOneLoginポータルへのログインをバイパスする

植木 和樹

2018.12.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは植木和樹@上越オフィスです。前回のブログでMacへのログインをOneLoginユーザーで行う OneLogin Desktop を紹介しました。

OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う

デスクトップログインは成功しましたが「認証されている端末からのみOneLoginを利用可能にする」という残課題がありました。つまり信頼されたユーザー信頼された端末から利用した場合のみOneLoginが利用可能になるというものです。(加えてOneLoginからシングルサインオンする各種サービスも)

OneLoginの認証まわりの設定をみたところ「信頼された端末からはOneLoginポータルのログインをバイパスする」ことができるようなので、これを試してみました。

設定

バイパスを許可したユーザーポリシーを作成する

管理画面で SETTINGS - Policies から NEW USER POLICY をクリックして、新しいユーザーポリシーを作成します。

ユーザーポリシーをユーザーに適用する

USERS から設定したいユーザーを選択し、AuthenticationタブのUser Security Policyで作成したポリシーを選びます。

動作確認

動作確認には事前にOneLogin DesktopでMacにログインできるようにしておく必要があります。

OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う

Macにログインしたらブラウザを開き、OneLoginのポータル画面URLにアクセスします。https://<yourdomain>.onelogin.com/portal/

すると証明書を選択する画面が表示されるので「OK」をクリックします。

下図は「証明書を表示」した時の画面です。有効期限は2年の模様。

Chromeブラウザの場合、証明書はKeychainに保存されているのでアクセスする際にパスワードが求められるかもしれません。

ブラウザが証明処理手続きを行い、パスワード入力なしでポータル画面が表示されたら成功です!

なお証明書の選択などに20秒ほど経過するとログインに失敗し、自動的にID/Passwordによるログイン画面に遷移します。

課題

証明書をもっていない端末からでもOneLoginにはできてしまう

今回の設定でデスクトップログインが成功している場合にOneLoginポータルへのログインをバイパスすることはできました。しかし当初期待していた証明書を持っている端末からのみログインを可能にすることは確認できていません。

ユーザーポリシーで証明書を用いた多要素認証(MFA)を設定すれば可能ですが、今回のログインバイパスとの併用はできない模様です。

OneLoginでPKI証明書による認証方式を試してみた

ログインバイパスを有効にし証明書によるMFAは無効する

NG。証明書のない端末からもID/Passwordでログインできる。

ログインバイパスを有効にし証明書によるMFAも有効する

NG。証明書を持った端末からID/Passwordでログインしてもログイン画面に戻される(謎)。

ログインバイパスを無効にする

OK。ID/Passowrdに加え、証明書もないとログインできない。ただし自動ログインはできなくなる。

クライアント証明書の更新はどうする?

クライアント証明書の有効期限は2年で設定されているようです。つまり2年後には利用できなくなります。

macOSの場合クライアント証明書はOneLogin Desktopをインストールした際に設定される機能で、メニューバーからユーザーによる更新が可能です。

Safariでの利用はできる?

できます。OneLogのポータル画面にアクセスしたところChromeと同様に証明書を要求されログインすることができました。

Firefoxでの利用はできる?

macOS版のFirefoxは証明書管理にKeychainを利用せず独自で管理しているそうです。

前述のブログで紹介している手順を参考にできるとは思うのですが未確認です。

Keychainに保存された証明書はエクスポートできる?

試してみましたが、エラーになってエクスポートはできませんでした。そのためユーザーが持ち出して別の端末にするということはできなさそうです。

まとめ

今回の設定でOneLogin Desktopでログインした場合に、ポータルサイトへのログインをバイパスすることができました。しかし「課題」にも書いたとおりユーザーの利便性はあがりましたが、セキュリティの観点でいうと強化されてはいません。

結論として、ログインバイパスは諦め、OneLogin Desktopによる端末ログイン + 証明書を用いたポータルのMFAが、ログインを一元管理しつつ端末認証もできセキュリティが強いようです。

上記の設定を行うユーザーでしばらく検証を続けてみたいと思います。

以上、社内関係者向けの業務報告でした。

AWS