UiPathにおける物理トークンの突破

内部Webシステムの操作をUiPathで自動化することを考えているのですが、ログインについて悩んでいます。

現状では、ログイン時に物理デバイスによるワンタイムトークンが必要なのですが、UiPathで物理デバイスを使わずにログインする方法を模索しています。
※こういったものを使っています。
https://www.onespan.com/ja/products/hardware-authentication

現在考えている方法は、以下2点です。

  1. 物理トークンが不要なログインの裏口を作る
    (例えば、ユーザーID・パスワードでログイン。ロボットPCのIPアドレス以外は拒否などの制約を設ける)

  2. ソフトウェア上でワンタイムトークンを生成する。
    (現在利用している認証基盤で、そのようなことが可能なのかは不明ですが・・・)

UiPathにおける物理トークンの突破事例として、過去事例などありましたら教えていただきたいです。
「他にもこんなやり方があるかも?」のような情報でも構いません。
各組織でセキュリティポリシーも異なることから、ベストプラクティスと言えるものはないかと思いますが、あくまでも参考事例として教えていただければと思います。

1 Like

さすがにハードトークンに対する自動化は困難かと思います。
トークン発行のためにボタン押下などの物理操作と、それによって発行されたトークンの文字列の読取り操作とが必要になると思いますが、後者はまだしも前者を実装することが容易ではないかと。

一般論として、多要素認証が求められる仕組みについては自動化の難度が上がると思います。
セキュリティレベルと利便性(自動化含む)はトレードオフですので、関係する方々とディスカッションしながら進めていくのが宜しいかと思います。

2 Likes

ありがとうございます。

物理トークンが不要なログインの裏口を作る

この方針で関係者との調整を進めていこうと思います。

1 Like

This topic was automatically closed 3 days after the last reply. New replies are no longer allowed.