6.2. OTP ポリシー
Red Hat Single Sign-On には、FreeOTP または Google Authenticator のワンタイムパスワードジェネレーターに設定できるポリシーが複数あります。左側のメニュー項目 Authentication
をクリックし、OTP Policy
タブに移動します。
OTP ポリシー
ここで設定したポリシーは、ワンタイムパスワードの検証に使用されます。OTP を設定する際に、FreeOTP および Google Authenticator は、Red Hat Single Sign-On の OTP set up ページで生成される QR コードをスキャンします。このバーコードは、OTP Policy
タブに設定した情報からも生成されます。
6.2.1. TOTP 対HOTP リンクのコピーリンクがクリップボードにコピーされました!
OTP ジェネレーターには、以下の 2 つのアルゴリズムを選択できます。時間ベース (TOTP) と番号ベースの (HOTP)TOTP の場合は、トークンジェネレーターが現在の時間と共有の秘密をハッシュ化します。サーバーは、特定の期間内のハッシュと送信された値を比較することで OTP を検証します。そのため、TAOTP は短期間 (通常は 30 秒) にのみ有効です。HOTP では、共有カウンターの現在の時間ではなく、共有カウンターが使用されます。サーバーは、成功した各 OTP ログインでカウンターをインクリメントします。したがって、有効な OTP は、ログインに成功してからしか変更しません。
TOTP は、HOTP の OTP は不確定な時間に対して有効であり、一致可能な OTP は短期間にのみ有効であるため、より安全であると考えられます。HOTP は、ユーザーが時間間隔を稼働する前に OTP に入力する必要がないため、より使いやすいユーザーです。Red Hat Single Sign-On が TOTP に実装されている方法により、この区別がほとんど発生しなくなります。HOTP では、サーバーがカウンターを増やすたびにデータベースを更新する必要があります。負荷が大きい場合、認証サーバーでパフォーマンスが低下する可能性があります。そのため、より効率的な代替機能を提供するために、使用されるパスワードを記憶しません。これにより DB の更新は必要ありませんが、不利な点は TOTP が有効な時間間隔で再度使用される可能性があります。Red Hat Single Sign-On の今後のバージョンでは、TOTP が時間間隔で古い OTP をチェックするかどうかが予定されています。