• ホーム
• アプリの統合
• MFA統合
• VMware Horizo​​n View 2 要素認証 (XNUMXFA/MFA)

VMware Horizo​​n View (VDI) の多要素認証 (MFA/2FA) を構成する

---

miniOrangeがVMware Horizo​​nのセキュリティを強化 2要素認証（2FA） または VMware Horizo​​n View MFA この高度なアプローチでは、通常のパスワードだけでなく、追加の情報も必要になります。これは、Horizo​​n アカウントに 2 番目のロックをかけるのと同じで、不正アクセスが非常に困難になります。

miniOrangeは、この追加されたセキュリティレイヤーをVMware Horizo​​nのログインプロセスにシームレスに統合します。誰かがあなたのパスワードを発見したとしても、次のようなツールで生成できる2番目のレベルの認証がなければログインできません。 VMware Horizo​​n MFA または VMware Horizo​​n 2 要素認証と呼ばれるこの追加のセキュリティ レイヤーにより、最新のセキュリティ標準に従って機密データが適切に保護されます。

VMware Horizo​​n View ログイン用の miniOrange 2FA/MFA 認証

miniOrange は、RADIUS 要求として入力されたユーザーのユーザー名/パスワードを受け入れ、Active Directory (AD) としてのユーザー ストアに対してユーザーを検証する RADIUS サーバーとして機能することでこれを実現します。最初のレベルの認証の後、miniOrange はユーザーに 2 要素認証を要求し、ユーザーの入力に基づいてアクセスを許可または取り消します。

1. プライマリ認証は、ユーザーがユーザー名とパスワードを送信することで開始されます。 VMware Horizo​​n View.
2. ユーザーリクエストは、 認証リクエスト RADIUS サーバー (miniOrange) へ。
3. miniOrange RADIUS サーバー ユーザー資格情報を渡して、AD (Active Directory) / データベースに保存されている資格情報と照合して検証します。
4. ユーザーの最初のレベルの認証が検証されると ADはRADIUSサーバーに確認を送信します.
5. miniOrange RADIUSサーバーは、 2要素認証チャレンジ ユーザに提供する。
6. ここで、ユーザーはハードウェア/電話で受信した応答/コードを送信します。
7. ユーザーの応答 miniOrange の RADIUS サーバー側でチェックされます。
8. 成功した場合 第二要素認証 ユーザーにログイン権限が付与されます。

VMware Horizo​​n View (VDI) 2要素認証のステップバイステップの設定

1. miniOrangeにRadiusクライアントを追加する

• miniOrangeにログイン 管理コンソール.
• に行く アプリ をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します アプリケーションを追加 ボタンをクリックします。



• 選択する 半径 アプリケーションの種類として アプリを作成する



• ソフトウェアの制限をクリック VMware Horizo​​n View アプリケーションタブ。アプリケーションが見つからない場合は、 Radius クライアント アプリケーションタブ。



• Radius クライアントを追加するには、以下の詳細を設定します。

クライアント名：	参照用の名前。
クライアント IP:	Radius 認証要求を送信する VPN サーバーの IP アドレス。
共有秘密:	セキュリティキー。 例えば 「共有シークレット」 (これを保管してください。VPN サーバーで同じ設定を行う必要があります)。




• ソフトウェアの制限をクリック ログインポリシーRadius アプリの次のポリシーの詳細を構成します。

グループ名：	ポリシーが適用されるグループ。
ポリシー名:	ポリシー名を指定する任意の識別子。
ログイン方法	このポリシーに関連付けられているユーザーのログイン方法。
二要素認証を有効にする	このポリシーに関連付けられているユーザーのログイン時に 2 番目の要素を有効にします。
適応認証を有効にする	このポリシーに関連付けられているユーザーのログインに対して適応認証を有効にします。




• ソフトウェアの制限をクリック アドバンス設定。 ここに、 有効にする RADIUS クライアントからの単一のログイン要求でパスワードと多要素認証 (MFA) 要素の両方が必要な場合は、このオプションを選択します。



• ソフトウェアの制限をクリック Save.

注: オンプレミス バージョンによっては、接続をテストする前に以下の手順に従ってください。


オンプレミス版のみ

ステップ 1: ファイアウォール ポートを開きます。

• RADIUSリクエストを受信するには、 UDPトラフィックを開く ポート上 1812と1813 オンプレミス IdP がデプロイされているマシン用。
• ホスティングマシンが Windows マシンならフォローできる この の資料をご参照ください。
• ホスティングマシンが Linux マシンならフォローできる この の資料をご参照ください。

注: マシンが AWS でホストされている場合は、AWS パネルからポートを有効にします。

2. VMware Horizo​​n Viewを構成する

• VMware Horizo​​n View Administrator Web インターフェイスにログインします。
• 左側のペインで展開 設定 [OK]をクリックします サーバー 管理インターフェースで。
• まず 接続サーバー タブには何も表示されないことに注意してください。



• 接続サーバーを選択し、 編集



• クリック 認証 タブには何も表示されないことに注意してください。
• に移動します 高度な認証 セクションと選択 半径 会場は 2要素認証 ドロップダウン。
• 次のチェックボックスをオンにします。
  • 2要素認証とWindowsユーザー名のマッチングを強制する
• オーセンティケータ のドロップダウンで、ANSYS Structures Desktopを選択します。 新しい認証子を作成する.



• ソフトウェア設定ページで、下図のように クライアントのカスタマイズ のページ RADIUSを追加 認証フォームで認証者の名前を入力し、クリックします 次へ.
• 記入してください プライマリ認証サーバー 詳細は、次のスクリーンショットと表を参照してください。




ホスト名/アドレス	miniOrange 認証プロキシの IP アドレスを入力します。
認証ポート	1812 に設定します。
アカウンティング ポート	該当なし。デフォルト値のままにします。
認証タイプ	PAPを選択します。
共有秘密	miniOrange 認証プロキシからの RADIUS_SECRET を入力します。
サーバータイムアウト	RADIUS サーバーが認証要求に応答するまでにかかる時間を制御します。 60 に設定します。

• 他のフィールドはすべてデフォルト値のままにして、 次へ.
• セカンダリ認証サーバーを定義できます。これはオプションです。
• 詳しくはこちら 仕上げ RADIUS 認証子の作成を完了します。
• 両方のユーザー名オプションが有効になっており、新しく作成されたminiOrange RADIUS認証子が選択されていることを確認し、 OK.

3. エンドユーザー向けに2FAを設定する

• エンドユーザーダッシュボードにログインするには デフォルトのユーザー ディレクトリ資格情報。.
• 選択する 2FAを設定する 左のパネルから。



• 2 番目の要素オプションを参照して、ログイン時にエンドユーザーが使用する適切な方法を選択します。
• 今のところ、私たちは 「SMS経由のOTP」2FA方式としてご利用いただけます。 他の2FA方法を設定するためのガイド.
• 有効にする プロフィールセクションに電話番号を追加している場合はSMS経由のOTP、そうでない場合は 編集



• あなたを入力してください ご連絡先電話番号 必要な国コードを入力して、 セーブ を参照してください。

4. ユーザーディレクトリを構成する（オプション）

miniOrangeは、さまざまな外部ソースからのユーザー認証を提供します。 ディレクトリ (ADFS、Microsoft Active Directory、Microsoft Entra ID、OpenLDAP、Google、AWS Cognito など) アイデンティティプロバイダー (Okta、Shibboleth、Ping、OneLogin、KeyCloak など) データベース (MySQL、Maria DB、PostgreSQLなど) さらに多くの既存のディレクトリ/ユーザー ストアを構成したり、miniOrange でユーザーを追加したりできます。

• miniOrangeをIDPとして設定する
• ADをユーザーディレクトリとして設定する
• 外部IDPの設定

• miniOrange にユーザーを追加するには、次の 2 つの方法があります。
• miniOrangeでユーザーを作成する
• ユーザーの一括アップロード

1. miniOrangeでユーザーを作成する

• ソフトウェアの制限をクリック ユーザー >> ユーザーリスト >> ユーザーの追加.



• ここで、パスワードなしでユーザーの詳細を入力し、 ユーザーの作成



• ユーザーの作成が成功すると通知メッセージが表示される 「エンドユーザーが正常に追加されました」 ダッシュボードの上部に表示されます。



• ソフトウェアの制限をクリック オンボーディングステータスタブ登録したメールIDでメールを確認し、アクションを選択してください パスワードリセットリンクを記載したアクティベーションメールを送信する from アクションを選択 ドロップダウンリストをクリックし、 Apply



• さて、あなたのメールIDを開いてください。miniOrangeから受信したメールを開いて、 アカウントのパスワードを設定します。
• 次の画面でパスワードと確認パスワードを入力し、 シングルサインオン（SSO）パスワードのリセット



• これで、資格情報を入力して miniOrange アカウントにログインできます。

2. CSV ファイルをアップロードして miniOrange にユーザーを一括アップロードします。

• MFAデバイスに移動する ユーザー >> ユーザーリスト。 をクリックしてください ユーザーを追加する



• 一括ユーザー登録 サンプルのcsv形式をダウンロード コンソールから、指示に従ってこの csv ファイルを編集します。



• ユーザーを一括アップロードするには、ファイルを選択し、 カンマ区切りの .csv ファイル形式 次に「アップロード」をクリックします。



• csv ファイルが正常にアップロードされると、リンクを含む成功メッセージが表示されます。
• そのリンクをクリックすると、アクティベーション メールを送信するユーザーのリストが表示されます。アクティベーション メールを送信するユーザーを選択し、[アクティベーション メールの送信] をクリックします。選択したユーザーにアクティベーション メールが送信されます。

• ソフトウェアの制限をクリック ID プロバイダー >> ID プロバイダーの追加 ダッシュボードの左側のメニュー



• IDプロバイダーの選択で、 AD/LDAP ディレクトリ をドロップダウンから選択します。



• 次に検索 AD/LDAP それをクリックします。



• MINIORANGE に LDAP 設定を保存する: miniOrange の設定を維持する場合は、このオプションを選択してください。Active Directory がファイアウォールの背後にある場合は、AD への受信リクエストを許可するためにファイアウォールを開く必要があります。
• LDAP 構成をオンプレミスに保存: 設定を社内に保持し、社内のADへのアクセスのみを許可する場合は、このオプションを選択します。ダウンロードしてインストールする必要があります。 miniOrange ゲートウェイ あなたの前提に基づいて。




• AD/LDAPを入力する 表示名 および 識別する 名前。
• 選択する ディレクトリの種類 as Active Directory.
• LDAPサーバーのURLまたはIPアドレスをLDAPに対して入力します サーバー URL フィールド。
• 以下を行うには、 試験用接続 ボタンを押して接続が成功したかどうかを確認します LDAPサーバー.



• Active Directoryで、ユーザーコンテナ/OUのプロパティに移動し、 識別名属性バインドアカウントには、Active Directory のディレクトリ参照に必要な最低限の読み取り権限が必要です。また、プロビジョニング（ユーザーまたはグループの作成、更新、削除など）を伴うユースケースの場合は、アカウントに適切な書き込み権限も付与する必要があります。



• 有効なバインド アカウント パスワードを入力します。
• 以下を行うには、 バインドアカウント資格情報のテスト LDAP 接続の LDAP バインド資格情報を確認するボタン。



• 検索ベース ディレクトリ内でユーザーの検索が開始される場所です。識別名を取得したのと同じ場所から取得します。



• ドロップダウンメニューから適切な検索フィルターを選択します。 単一グループ フィルターのユーザー or 複数グループフィルターのユーザーを置き換えますグループDN> 検索フィルターに、ユーザーが所属するグループの識別名を入力します。カスタム検索フィルターを使用するには、 「カスタム フィルターを作成する」 オプションを選択し、それに応じてカスタマイズします。



• 以下を行うには、 次へ ボタン、またはに移動します ログインオプション タブには何も表示されないことに注意してください。
• ADの設定時に以下のオプションを設定することもできます。有効化 LDAPをアクティブ化する AD/LDAPからユーザーを認証するには、 次へ ユーザーストアを追加するためのボタン。




以下に属性のリストと、有効にした場合の動作を示します。これに応じて有効/無効にすることができます。

属性	詳細説明
LDAPをアクティブ化する	有効にすると、すべてのユーザー認証はLDAP認証情報を使用して行われます。
フォールバック認証	LDAP認証に失敗した場合、ユーザーはminiOrangeを通じて認証されます。
管理者ログインを有効にする	これを有効にすると、miniOrange管理者ログインはLDAPサーバーを使用して認証されます。
ユーザーにIdPを表示する	このオプションを有効にすると、このIdPはユーザーに表示されます
miniOrangeでユーザーを同期する	LDAP認証後、miniOrangeにユーザーが作成されます。



• 以下を行うには、 次へ ボタン、またはに移動します Attributes タブには何も表示されないことに注意してください。

ADからの属性マッピング

• デフォルトではuserName、firstName、lastName、emailが設定されています。下にスクロールしてクリックしてください。 Save ボタンをクリックします。Active Directoryから追加の属性を取得するには、 構成された属性を送信する左側に、アプリケーションに公開する名前を入力します。右側に、Active Directoryの属性名を入力します。例えば、Active Directoryから会社属性を取得し、それを組織名として設定済みアプリケーションに送信する場合は、次のように入力します。

  SP に送信される属性名 = 組織
  IDPからの属性名 = 会社






• 以下を行うには、 次へ ボタン、またはに移動します プロビジョニング タブには何も表示されないことに注意してください。

ADからのユーザーのインポートとプロビジョニング

• プロビジョニングを設定する場合は、 ここをクリック 詳細については、こちらをご覧ください。この手順はここでは省略します。

接続のテスト

• ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 試験用接続.



• LDAP 構成を確認するためにユーザー名とパスワードの入力を求めるポップアップが表示されます。



• On Successful: LDAP サーバーに接続すると、成功メッセージが表示されます。

テスト属性マッピング

• ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 テスト属性マッピング.



• ポップアップが表示され、ユーザー名を入力してクリックします。 ホイール試乗.



• テスト属性マッピング結果が表示されます。

AD を外部ディレクトリとしてセットアップする構成が完了しました。

注意： 私たちを参照してください ガイド Windows サーバーに LDAP をセットアップします。

miniOrange は、ディレクトリ、ID プロバイダーなどのさまざまな外部ユーザー ソースと統合されます。

• ADFS
• ピン
• AWSコグニート
• さらに多くの

IdP が見つからない、または設定にサポートが必要ですか?

お問い合わせ またはメールでお問い合わせ idpsupport@xecurify.com すぐに設定をお手伝いいたします。

外部参照

• MFA で VPN を保護する方法
• miniOrangeによる安全なリモートアクセス
• VMware Horizo​​n Administrator で 2FA を有効にする
• ネットワークデバイスのセキュリティを強化する