みなさまこんにちは。

セキュリティ系製品担当SEの小林です。

3月に入り、昼間は春らしい日も増えてきました。私は花粉におびえながら過ごす毎日です……

さて、先日以下の記事にて多要素認証ソリューション「Duo」（Cisco Secure Access by Duo）のパスワードレス認証をご紹介させていただきました。

こちらのパスワードレス認証ですが、昨年12月よりPublic Previewが開始されており、正式リリース間近となっております！

弊社の検証環境にて動作確認を行いましたので、今回のブログではDuoのパスワードレス認証がどのように動作するのかご紹介させていただきます。

検証環境

今回はAWS管理コンソールへのログインアクセスをDuoパスワードレス認証で実現します。

DuoとAWS管理コンソールは、あらかじめ下記のマニュアルを参考に連携しておきます。

SAML IdPとしてDuo Single Sign-On、SAML SPとしてAWS管理コンソールが動作します。

Duo Single Sign-Onのプライマリ認証ソースとしてはオンプレのActive Directoryを指定しています。

パスワードレス認証の有効化（設定方法）

この環境で、パスワードレス認証を有効化します。

まず、Duo管理コンソールからDuoパスワードレスを有効化します。

続いて、パスワードレス認証をユーザに求めるポリシーを作成します。

[Authentication Method] の [Passwordless authentication method] において、ユーザに利用させる認証方式を選択します。

• Platform Authenticators
  • アクセスデバイス(PCやスマートフォン等)に組み込まれているオーセンティケーター・生体認証センサー
• Roaming Authenticators
  • アクセスデバイスに接続されたFIDO2準拠のWebAuthnセキュリティキー

この作成したCustom PolicyをAWSと紐づけます。

今回はApplication Policyとして作成したポリシーを指定しました。

これでDuo側の設定は完了です。

動作確認

パスワードレス認証の動作イメージは以下図の通りです。

それではAWSにログインしてみます。今回はWindows 10のPCにおいてGoogle Chrome （バージョン: 99.0.4844.51） でアクセスしています。

パスワードレス認証有効後、初回のログインでは始めにユーザ名（メールアドレス）・パスワード、Duo Push等これまで利用していた認証方式での認証が求められます。

その後、パスワードレス認証を使うかどうか、確認する画面が表示されます。

パスワードレス認証を使用したいので、「Continue」から有効化していきます。

ウィザードに沿って設定していくだけで簡単に有効化が完了しました。

これでパスワードレス認証でAWSへログインができるようになったはずです。

一度ブラウザを閉じ、AWSへログインし直してみます。

ユーザ名（メールアドレス）と顔認証だけでログインすることができました！

とてもスムーズにログインすることができ、時間の短縮にもなります。

Duo管理画面からもパスワードレス認証で認証を実施したことを確認できます。

動作イメージは以下の動画からもどうぞ。

さいごに

Duoのパスワードレス認証の動作は確認いただけましたでしょうか。

検証してみたい！という方は是非トライアルをお申込みいただければと思います。お気軽にお問合せください。

簡単ではありますが、Duoでのパスワードレス認証のご紹介でした。