リリースノートはこちら。
Horizon Viewにおける標準的な認証標準機能としてはパスワード認証のみなので、セキュリティの観点ではあまりよい状況とは言えず、ICカード認証やRADIUS認証などの多要素認証を組み合わせてご利用頂くことで認証におけるセキュリティレベルを高めることが出来ます。
組み合わせ可能な多要素認証として、RSA Secure IDやRADIUSをこれまでサポートしていましたが、「Touch ID」はiOS標準の機能かつ生体認証なのでセキュリティレベルが高い(盗むことが難しい)ということもあって、どのような動きをするのかさっそく試してみました。
結論から言いますと、これはあくまで個人的にですが期待していたものとは少し違いました。。
本機能は、ユーザー名/パスワードの入力を「Touch ID」で"代用する"(利便性を高める)機能であり、ユーザー名/パスワード入力後の2要素認証として「Touch ID」を"強制する"(セキュリティレベルを高める)機能ではありませんでした。
ちょっと残念ではありましたが、、iOSが提供するTouch IDと連携出来るようになったことが大きな前進であると捉え、今後のアップデートで"強制出来る"ようになることを期待しましょう。
せっかくですので、「試してみたい」という方や「画面を見てみたい」という方のために、実際に確認した際の手順などを紹介しておきます。ご興味のある方は続きをどうぞ。
VMware HorizonでTouch IDを利用するためには、以下の要件を満たす必要があります。
デバイス:iPhone 5S以降、iPad Air 2 および iPad mini 3
OS:iOS 8以降
Horizon View:バージョン6.2以降
Horizon Client:バージョン3.5以降その他の要件:Horizon Clientへのルート証明書の配布
# この、"Horizon Clientへのルート証明書の配布"要件が何気にハードルが高かったです。。
私の検証環境はデフォルトの自己署名型の証明書を使っていたので、全然うまくいかず、、結局Active DirectoryのCA認証局で証明書を発行してiPhoneにルート証明書を配布しました。。
尚、私が検証で使った環境は以下の通りです。
デバイス:iPhone 6
OS:iOS 9.1
Horizon View:バージョン6.2.0
Horizon Client:バージョン3.5.1
Horizon Clientへのルート証明書の配布:OK(Active Directoryのルート証明書を配布)
それでは、具体的な手順を紹介していきます。
VMwareさんのドキュメントはこちら。
1. バイオメトリクス認証の有効化
Connection Serverにログインし、"ファイル名を指定して実行"よりmmcを起動します。
mmcが起動しますので、[ファイル]-[スナップインの追加と削除(M)]を実行します。
"スナップインの追加と削除"画面が表示されますので、一覧より"ADSIエディター"を選択し、[追加(A)>]ボタンをクリックします。
ADSIエディターが追加されたことを確認し、[OK]ボタンをクリックします。
ADSIエディターが起動しますので、"ADSIエディター"を選択し、右クリックメニューより"接続(C)"を実行します。
"接続の設定"画面が表示されますので、以下の通り設定し、[OK]ボタンをクリックします。
(メモ)接続の設定
・接続ポイント
識別名または名前付けコンテキストを選択または入力する:DC=vdi,DC=vmware,DC=int
・コンピューター
ドメインまたはサーバーを選択または入力する:localhost:389
[DC=vdi,DC=vmware,DC=int]-[OU=Properties]-[OU=Global]の順にツリーを展開し、中央ペインに表示される"CN=Common"を選択し右クリックメニューより"プロパティ"を実行します。
プロパティ一覧より、"pae-ClientConfig"を選択し、[編集]ボタンをクリックします。
"追加する値(V)"項に"BioMetricsTimeout=-1"と入力し、[追加(D)]ボタンをクリックします。
(解説)BioMetricsTimeout
0:バイオメトリクス認証はサポートされません。(デフォルト)
-1:バイオメトリクス認証は時間制限なしでサポートされます。
任意の正の整数:バイオメトリクス認証はサポートされ、指定した分数の間、使用可能。
プロパティ画面に戻りますので、[OK]ボタンをクリックします。
バイオメトリクス認証の有効化は、サービスの再起動などは不要ですぐに有効になりますので、さっそくiPhoneのHorizon Clientから接続してみます。
2. Horizon ClientでのTouch IDの有効化
iOSデバイスでHorizon Clientを起動します。
"サーバのセットアップ"画面が表示されますので、サーバアドレス項にConnection Serverのアドレスを入力し、[サーバの追加]ボタンをタップします。
認証画面が表示されますので、"Touch IDを有効にする"をオンにします。
ユーザー名/パスワードを入力し、[Done]ボタンをタップします。
認証が成功し、許可されているリソースが表示されることを確認し、"ログアウト"をタップします。
Connection Serverが登録されていますので、もう一度タップします。
"HorizonでTouch IDを使用"画面が表示されますので、指紋認証センサーに指を当てます。
Touch IDによる認証が完了すると、ユーザー名/パスワードを入力することなく、許可されているリソース画面まで遷移します。
もちろん、そのまま仮想デスクトップにもシングルサインオンでアクセス可能です。
尚、Touch IDとユーザー名/パスワードの関連付けが保持される期間は、上記の"BioMetricsTimeout"で設定した分数となりますので、設定時間が超過した場合には、再度ユーザー名/パスワードを入力する必要があります。("-1"の設定は永続的に保管されます。)
ご参考までに、Connection Serverの証明書が信頼出来ない(iPhone側にルート証明書が配布されていない)環境では、Touch IDを有効化するためのボタンが表示されません。。
期待していた2要素認証とはなりませんでしたが、、たしかに、ユーザー名/パスワードの入力を簡略化したい、というご要望もよく耳にします。
利便性の向上とセキュリティレベルの向上、これらは相反しがちですが、利用される方の環境やワークスタイルによって、どちらが重要視されるのかも変わると思います。どのようなワークスタイルにも対応出来るように、こういった認証方式の選択肢が増えることも嬉しいですね。
0 件のコメント:
コメントを投稿