Privileged Access Manager ( 以下、 PAM) に RSA 経由でログインした時、通常は PIN の情報入力後、生成された OTP を SMS/ メールで送信されて追加プロンプトに入力する。
しかしながら、PAM を 4.1.5 または、4.1.6 にアップグレードした後には OTP の入力プロンプトが表示されず、そのままログインができるようになる。これはセキュリティ上でも重要な問題となる。
通常は以下のような画面が表示されるはずである。
例:
Privileged Access Manager: 4.1.5 または 4.1.6 RSA 認証を有効にした環境
RSA: REST API 認証の有効化 と ユーザの オンデマンド 認証が有効になっている
ユーザのオンデマンド認証が有効になっている場合、OTP を提供するためのポップアップが表示されません。
このオンデマンド認証が構成されていない場合は、影響なく正常に動作します。
現時点では、本問題の REST API認証とオンデマンド認証の両方を有効化しているユーザに関して解決策はありません。
オンデマンド認証を有効化しているかどうかは RSA 側のユーザの詳細で確認することができます。
Authentication > On-Demand Authentication > Manage Enabled Users
例:
現時点の回避策は RSA の認証に REST API を使用しない以前のバージョンに戻すことになります。
必要な場合、サポートチケットをオープンして、回避策を実行することで、以前のように OTP の画面を表示させることができるようになります。
本問題かどうかを確認するには、ユーザがオンデマンド認証を有効にしているかどうかを確認してください。
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 277409: RSA Integration with CA PAM 4.1.5 and 4.1.6 does not prompt for 2F authentication