コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=authentication-OTP-manual-deploy

OTP トークンの手動設定

ハードウェアトークンとソフトウェアトークンのシークレットを手動で設定し、ユーザーに割り当てることができます。

ファイアウォールは SHA1、SHA256、SHA512 ハッシュアルゴリズムをサポートしています。

MFA の設定を指定する

MFA をまだ設定していない場合は、次の手順を実行してください。

  1. 認証 > 多要素認証」に移動します。
  2. ワンタイムパスワード」で「特定のユーザーとグループ」を選択します。

  3. 新しいユーザーとグループの追加」をクリックし、ユーザーとグループを選択して、「選択した項目を適用」をクリックします。

    MFA ユーザーおよびグループ。

  4. 次のサインインで OTP トークンを生成する」をオンにしないでください。

    ファイアウォールは QR コードを生成しません。ユーザーは、管理者が共有するハードウェアトークンまたはワンタイムパスコードを使用できます。

    ユーザーは認証アプリにシークレットを手動で入力することもできます。既に QR コードをスキャンしたユーザーは、アプリが生成するパスコードを引き続き使用できます。

    認証アプリがサポートするハッシュアルゴリズムを使用する必要があります。SHA256 または SHA512 をサポートしていない認証アプリ (Microsoft Authenticatorなど) でも QR コードをスキャンすることはできますが、サインインで失敗します。

    SHA256 および SHA512 に対応した認証アプリ (Sophos Intercept X や Google Authenticator など) の利用を推奨します。

  5. MFA を必要とするサービスを選択します。

    この例では、「ユーザーポータル」、「Web 管理コンソール」、「VPN ポータル」、「SSL VPN リモートアクセス」を選択します。

    MFA サービス。

  6. OTP ハッシュアルゴリズム」で、ハッシュアルゴリズムを選択します。

  7. OTP のタイムステップの設定」で、ハードウェアトークンまたは認証アプリが必要とするタイムステップ (期間) の値を入力します。
  8. 適用」をクリックします。

トークンの追加

トークンを手動で作成するには、次の手順を実行します。

  1. 認証 > 多要素認証」に移動します。
  2. 発行されたトークン」で、「トークンの追加 (ハードウェアトークン用)」をクリックします。
  3. OTP ハッシュアルゴリズム」で、ハッシュアルゴリズムを選択します。

  4. シークレット」に次のように入力します。

    • ハードウェアトークンの場合は、デバイスの製造元から提供されたキーを入力します。

    • ソフトウェアトークンの場合は、固有の 16進数値を入力します。認証アプリはシークレットを使用してパスコードを生成します。

      サードパーティの Web サイトにアクセスし、16進数のシークレットを Base32 に変換します。たとえば、Cryptii を使用できます。Base32 のシークレットをユーザーと共有します。

      ユーザーは、認証アプリにシークレットを手動で入力して OTP を生成できます。詳細は、OTP の生成とサインインを参照してください。

  5. ユーザーを選択します。

  6. この設定例では、「MFA 設定」のカスタムのタイムステップではなく、「デフォルトのトークンのタイムステップ」を使用しています。
  7. 保存」をクリックします。