二要素認証

1.認証レベル

  • レベル1:認可を取得した状態
  • レベル2:二要素認証(ワンタイムパスコード、以下OTP)の検証成功、またはコールセンターの対応により本人確認済みと認められた状態

2.認証レベルの有効期間

  • レベル2は有効期間を持つ。有効期間経過後、認証レベルは1に降格される。
    有効期間:1日

3.認証レベルの昇格

  • (1)APIによる二要素認証
    • ①認証画面をクライアントが作成する場合のAPI
      • TEA010(認証方式取得)
      • TEA011(OTP配信要求)
      • TEA012(OTP検証)

認可(認証レベル1)取得後、TEA010、011、012を順次呼び出し、ワンタイムパスコードの検証を行う。
認可を取得した際、トークンタイプ(TEA004のレスポンス項目)が"bearer"である場合にTEA014の呼び出しを可能とする。

623
  • ②認証画面をセゾンコネクトが提供する場合のAPI
    • TEC005(ワンタイムトークン発行)
    • TEA014/015(OTP配信要求画面表示/レスポンス)

認可(認証レベル1)取得後、TEC005、TEC014を順次呼び出し、二要素認証を行う。クライアントは二要素認証の結果のみを受領する。
認可を取得した際、トークンタイプ(TEA004のレスポンス項目)が"mac"である場合にTEA014の呼び出しを可能とする。
認証レベル2の状態でTEA014を呼び出した場合、ユーザに認証画面を表示せず、クライアントへは認証済み(already_granted)を応答する。
ユーザの操作中はクライアントへ制御が返らないため、クライアントは数十分に渡りTEA015(OTP配信要求レスポンス)が返らないことを想定すべきである。

638
  • (2)コールセンターによる対応
    • TEC005(ワンタイムトークン発行)
    • TEA014/015(OTP配信要求画面表示/レスポンス)

TEA014の処理中、ユーザは所定の電話番号に架電し、これを受けてコールセンターにて認証レベルを昇格させることができる。
コールセンターはセゾンコネクトクライアント管理システムの機能を用いて二要素認証の操作履歴を確認し、認証レベルの昇格を行う。
ユーザの操作中、およびコールセンター対応中はクライアントへ制御が返らないため、クライアントは数十分に渡りTEA015(OTP配信要求レスポンス)が
返らないことを想定すべきである。

696

4.認証レベルの取得

クライアントが現在の認証レベルを取得する際の方法は以下の通り。

  • (1)TEB001(会員属性情報照会(会員属性情報))による取得
    TEB001を用いて認証レベルの取得を行うことで、クライアントは現在の認証レベルを得ることができる。
  • (2)TEA014(OTP配信要求画面表示)の応答電文TEA015による取得
    TEA015に含まれる認証レベルにより、クライアントは現在の認証レベルを得ることができる。
    ただしシステムエラーの発生時等、セゾンコネクトが認証レベルを取得できなかった場合は、レスポンスに認証レベルを含まない。