OnTimeのユーザー認証方法とOnTimeがお勧めする認証方法について

0.よく閲覧される記事, 4.管理者

OnTimeにはどのような認証方法がありますか?

OnTimeには下図のように3つの認証方法をサポートしています。

    1. Form Based -Pass-through(HTTP と HTTPS)
      OnTimeのログイン画面でOutlook メールアドレスとパスワードでログインする方法です。ログイン操作で承認出来た場合はTokenを発行します。
      HTTP と HTTPS の使い分けは接続するURLで決定します。
    2. HTTP(s) Domain (SSO)
      WindowsでADドメインに参加している場合にWindowsの機能としてSSO連携出来る方法です。Windows統合認証。Windows経由で認可出来た場合はTokenを発行します。
      HTTP と HTTPS の使い分けは設定時にHTTPかHTTPSかを選択して下さい。
      OnTimeにバンドルされている「OnTime Auth サービス」がサーバーで動作します。
    3. HTTPS ADFS(SSO)
      Azure AD もしくはオンプレADでADFSの組織認証へリダイレクトによって認証するSSOです。AzureAD ではエンタープライズアプリケーションからSAML設定を行います。
    4. HTTP(s) Mail Auth
      いわゆるマジックリンク認証方式です。ログインするメールアカウントを入力し、そのメールアカウントにワンタイム有効化リンクの記述されたメールを送信する方法です。メール文面に記載のワンタイム有効化リンクをクリックしたタイミングでOnTimeはTokenを有効化します。
      ご利用のメールシステム、オンプレかクラウド、利用クライアントアプリ等に依存せず認証が出来ます。また組織でご利用の認証システムとの連携も必要がなく導入がシンプルに行えます。
      また、このワンタイム有効化リンクは一度しか使えないので、再度必要とする場合は再送信となります。もしご本人が覚えのないワンタイム有効化リンクのメールがメールボックまた、このワンタイム有効化リンクは送信後15分しか有効でなく且つ一度しか使えないので、再度必要とする場合は再送信となります。もしご本人が覚えのないワンタイム有効化リンクのメールがメールボックスに届いたなら他人がその人のアカウントを使ってOnTimeを有効化しようとしていますのでリンクはクリックしないでください。またこのメールをあなた以外が先にクリックされていた場合はOnTimeの前にメール環境の盗聴やメール環境への認証などを先に心配する必要があります。
      もちろんですが、外部のメールアドレスや同じ組織内でもOnTimeをご利用でないメールアドレス(同期対象ではないメールアドレス)を入力した場合はエラーメッセージを表示してワンタイムリンクメールは送信されません。
      詳細は→「OnTimeのマジックリンク(メールによるワンタイム)認証とはどのような仕組みで動作しますか?」をご参照ください。

OnTimeの認証とTokenはいったいどういう関係ですか?

上記の認証を行った時にOnTimeはそのユーザーが利用するデバイスのTokenを有効化します。以後はそのTokenが有効な期間は認証のプロセスを必要としません。OnTimeクライアントを一定期間操作していなくても有効なToken期限内であれば引き続き操作出来ます。OnTimeクライアントを閉じても再起動に有効なToken期間内であれば承認処理無しで利用を再開出来ます。Tokenについては「Token期限は何日するのが推薦でしょうか?」を参照下さい。

OnTimeのお勧めする認証方法はどれですか?

Microsoft365のシングルテナントで運用されている場合、「HTTPS ADFS(SSO)」によるAzure AD のシングルサインオンです。認証処理を一元化できます。ただしOnTimeの特徴として複数のテナントに接続して運用できますが、この方式では現時点では複数テナントに対するSSOはサポート出来ておりません。
なのでもう1つは「HTTP(s) Mail Auth」です。上記にも記載していますが複数のテナントを接続出来たり、認証システムに依存しないのが特徴です。
そもそもOnTimeはOffice365の複数テナントやクラウドとオンプレのハイブリッドなど複数のExchangeシステムを同時接続出来ます。それぞれのテナントが違った認証システムを利用していても依存せずに利用出来ます。またスマートフォンなどデバイスを組織の認証システムに接続していない場合でも組織がメールの受信だけは許可しているのであればOnTimeを利用することが出来ます。

 

関連記事一覧