FortiGate VPN の 二要素認証

FortiGate

FortiGateでリモートアクセスVPNの接続の際にFortiTokenを利用して二要素認証(ワンタイムパスワード認証)を行なうようにする設定の手順
(SSL-VPNの基本的な設定手順は省略してます)

FortiTokenの登録

FortiGateにTokenを登録する

ユーザ&デバイス > FortiToken

  • タイプ:ハードウェアトークン(FortiToken200)かスマホアプリ(FortiToken Mobile)か選択
  • コメント:任意(利用者名など)
  • シリアル番号:ハードトークンの場合は機器背面に記載のシリアルを入力
    CD付きを購入した場合シードファイルが入っているので「インポート」で一括登録が可能
  • アクティベーションコード:モバイルトークンの場合、納品物に含まれるアクティベーションコードを登録

ユーザーへTokenを割当

既存または新規ユーザーにTokenを割当てる

ユーザ&デバイス > ユーザ定義

  • ユーザー名:任意の文字列(AD連携する場合はADと合わせる)
  • ユーザータイプ:ローカルユーザ、LDAPユーザ、RADIUSユーザ等から選択
  • パスワード:ローカルユーザの場合は入力
  • Eメール:モバイルトークンの場合はメールでアプリ側のアクティベーションコードを送信するため宛先を入力する
    また、FortiGateからメール送信可能にしておく必用がある(システム > 高度 > Eメールサービス)
  • ユーザーグループ:アクセスポリシーの送信元に必要となる
  • SMS:アクティベーションコードをショートメールで送信したい場合は設定しておく
  • 二要素認証:有効にしてトークンを選択
  • アクティベーションコードを送信:モバイルトークンの場合有効にするとメールで送信される

モバイルトークンのアクティベーション

スマホアプリ(FortiToken Mobile)をApple StoreやGoogle Playでインストールし、アクティベーションする

  • メールで届いたアクティベーションコードをコピー
  • スマホアプリ(FortiToken Mobile)を起動 > Enter Manually > Fortinet >
  • Name:ユーザ定義で登録したメールアドレス
  • Key:メールで届いたアクティベーションコードを貼り付け