認証形式について

PCAでは、個別認証時に従来のIDとパスワードによる認証に加え、パスワードレス認証・ワンタイムパスワード認証・連携アカウントによるシングルサインオン(SSO)に対応しています。よりセキュリティを強化したい場合に設定を行ってください。

  • 製品連携する際には連携元製品と連携先製品でパスワードレス認証・ワンタイムパスワード認証・連携アカウントでログオンの有効化の有効化状況を揃えて使用することを推奨しています。

パスワードレス認証とは

FIDO認証を使用したログオン方法です。「サーバーとユーザーで秘密の情報を共有しない」ため、サーバーからのID・パスワードの漏洩やフィッシングやマルウェアによるパスワードの盗み出しを防ぎ、安全で簡単にログオンが可能になります。

PCAでは、Windows Hello を利用した認証(顔認証、指紋認証、PINによる認証)によってPCA製品へのログオン認証を行います。

注意・制限事項

  1. Windows Helloを利用した生体認証を行うため、Windows Helloが利用できない環境(OSバージョンが古い場合や認証機器未搭載の場合)では利用できません。

    (従来でのパスワードによる認証となります)

    また、リモート環境上でも Windows Hello を利用することができません。

ワンタイムパスワード認証とは

時間によってワンタイムパスワードを生成する仕組み(TOTP : Time-based One-Time Password)を利用してログオンをする方法です。

専用アプリに届いたパスワードを入力するだけなので、操作性に悩むことなくセキュリティを高めることができます。

  • Google Authenticator

  • Microsoft Authenticator

といった、スマートフォンやタブレット、iOS、Android で利用可能な一般的な認証アプリケーションを利用してPCA製品へログオン認証を行います。

注意・制限事項

  1. 「Google Authenticator」「Microsoft Authenticator」などスマートフォン等で使用可能な認証アプリケーションを準備しておく必要があります。

  2. 『PCA 給与シリーズ』『PCA 人事管理シリーズ』『PCA 法定調書シリーズ』のいずれかと『マイナンバー管理ツール』の両方をご利用になる場合、各製品で「ワンタイムパスワード認証の有効化」を行う前に、『マイナンバー管理ツール』の運用準備(セットアップ、起動、『マイナンバー管理ツール』でのデータ領域の作成)を済ませておいてください。

    • すでに各製品で「ワンタイムパスワード認証の有効化」を行った場合は、「ワンタイムパスワード認証の有効化」で認証を一旦無効にしてから、『マイナンバー管理ツール』の運用準備を行い、再度「ワンタイムパスワード認証の有効化」を行ってください。

シングルサインオン(SSO)とは

クラウド上のアカウントを使用したログオン方法です。ユーザーが1度認証を行うことで、その後もログオンできるようになり、従来のシステムユーザーID・パスワードでの認証が不要となります。

ユーザーは複数の複雑なパスワードを管理する負担がなくます。また、紙に書き留めるなどのパスワード漏洩のリスクを減らすことができます。

PCA製品へのログオン認証はMicrosoft Entra ID(旧 Azure AD)を利用します。

注意・制限事項

  1. インターネット環境が必要となります。インターネットの障害などでSSOに失敗した場合には従来のログオン画面が表示されます。

  2. アカウントは、管理者が一括管理することを想定しています。そのため、連携設定を行うには、PCAのシステム管理者に連携アカウントの管理者権限が必要です。

  3. 「職場または学校アカウント」が対象となります。個人のアカウントは使用できません。

    1つのシステム領域に複数の複数の組織(テナント)の Microsoft アカウントを紐付けることができます。

  4. 認証方法が「独自認証」の場合に使用できます。

  5. 本体メニューと同じログオンユーザーでログオンする連動製品(※)では有効/無効を揃える必要があります。

    • 『PCA 建設業会計シリーズ』と連動する各PCAシリーズ

      • 『PCA 給与シリーズ』

      • 『PCA 固定資産シリーズ』

      • 『PCA 法定調書シリーズ』

パスワードレス認証 運用開始までの流れ

1. [システムユーザー]Windows Helloの準備

ログオンするPCそれぞれでWindows Helloのセットアップが必要です。

セットアップ方法はMicrosoft社のウェブサイト等をご確認ください。

2. [システム管理者]パスワードレス認証の有効化を行う

「システムツール」-「パスワードレス認証の有効化」機能でパスワードレス認証を有効化します。

併せて、各ユーザーにパスワードレス認証の利用を強制するかどうかの設定も行うことが可能です。

3. [システムユーザー]パスワードレス認証設定を行う

「セキュリティ」-「システムユーザーの登録」でパスワードレス認証の設定を行います。

ログオンするPCそれぞれで設定を行う必要があります。

利用が強制の場合には

  • Windows Helloに対応していないPCでは「このコンピューター、OSアカウントではパスワードレス認証を使用しない」を設定します。

(1)  認証キー名を設定します。他のPCAソフトでパスワードレス認証設定を行う場合に、登録した認証キー名を入力することで、共通の認証設定を使用することができます。

(2)  使用する認証方法(指紋認証・顔認証・PINによる認証)で認証の登録を行います。

4. [システムユーザー]パスワードレスでログオン

パスワードレス認証の設定を行ったPCから指紋認証、顔認証、PINによる認証などでログオンを行います。

 

ワンタイムパスワード認証 運用開始までの流れ

1. [システムユーザー]認証アプリケーションの準備

「Google Authenticator」「Microsoft Authenticator」など認証アプリケーションを準備します。

操作方法は各アプリケーションのサイト等をご確認ください。

2. [システム管理者]ワンタイムパスワード認証の有効化を行う

「システムツール」-「ワンタイムパスワード認証の有効化」機能で「認証アプリケーション」を選択することでワンタイムパスワード認証の使用が有効となります。

併せて、各ユーザーにワンタイムパスワード認証の利用を強制するかどうかの設定も行うことが可能です。

3. [システムユーザー]ワンタイムパスワード認証設定を行う

「セキュリティ」-「システムユーザーの登録」でワンタイムパスワード認証の設定を行います。

(1)  ワンタイムパスワード認証の「利用区分」を「使用する」に設定し、「秘密鍵」を生成します。

(2)  確認画面が表示されますので、認証アプリケーションでQRコードを読み込みます。

(3)  登録時に「コードの確認」画面が表示されますので、認証アプリケーションに表示された認証コードを入力します。

4. [システムユーザー]ログオン画面でワンタイムパスワードを入力

ログオン画面で通常のパスワードと認証アプリケーションに表示されたワンタイムパスワード両方を入力します。

 

ログオンできない場合には?

スマートフォンなどの故障や紛失等で認証アプリケーションが利用できない場合に備えて、事前にバックアップコードを生成しておくことが可能です。1度だけ利用できる数値8桁のバックアップコードを10個出力できます。

ログオン時にバックアップコードの1個を使用してログオンします(一度使用したバックアップコードは使用できなくなります)。

一般ユーザーがログオンできない場合にシステム管理者がバックアップコードを生成して提供することも可能です。

バックアップコードは再生成可能ですが、再生成すると以前出力したバックアップコードは使用できなくなります。

シングルサインオン(SSO) 運用開始までの流れ

1. [システム管理者]Microsoft Entra ID(旧 Azure AD)の準備

システムユーザーごとのMicrosoft Entra ID(旧 Azure AD)が必要となります。

Microsoft EntraについてはMicrosoft社のウェブサイト等をご確認ください。

2. [システム管理者]連携アカウントでのログオンの有効化を行う

「システムツール」-「連携アカウントでのログオンの有効化」機能で連携アカウントでのログオンを有効化します。

3. [システム管理者]システムユーザーと連携アカウントを紐付ける

「セキュリティ」-「システムユーザー連携アカウント設定」でシステムユーザーとMicrosoft Entra IDの紐付けを行います。

設定は全製品共通です。いずれかのPCA製品で1度設定すれば、シングルサインオンに対応したPCA製品全てに反映されます。

連携方法は以下から選択できます。

  1. 自動選択(完全一致/前方一致/部分一致)

    システムユーザーIDと対応するMicrosoft アカウントを、自動的に検索します。

    例)システムユーザー「tanaka」→「tanaka@example.onmicrosoft.com」と連携

  2. 汎用データから指定

    例)「s-tanaka,tanaka@example.onmicrosoft.com」

  3. 手動選択

    参照ダイアログから任意のアカウントを選択します。

4. [システムユーザー]Microsoft アカウントの認証

初回ログオン時に[Microsoft アカウントでログオン]ボタンをクリックしすると、ブラウザが起動しサインイン画面が表示されますので、Microsoft アカウントでサインインします。

「システムユーザー連携アカウント設定」で紐づけたアカウントを使用してください。

  • すでにサインイン済みの場合は、サインイン画面がスキップされることがあります。

  • 複数のアカウントでサインイン済みの場合は、アカウント選択画面が表示されることがあります。「システムユーザー連携アカウント設定」で紐づけたアカウントを選択してください。

 

5. [システムユーザー]または[システム管理者]アクセス許可

4のサインインに成功すると、アクセス許可確認画面が表示されます。

PCA製品から、Microsoftアカウントへのアクセス許可に同意する場合は承諾します。

システム管理者が一括で承諾することも可能です。

  • 初回のみこの画面が表示されます。PCAのいずれかの製品で承諾している場合にはこの画面は表示されません。