IAM Identity Center で使用可能な MFA タイプ
多要素認証 (MFA) は、ユーザーのセキュリティを強化するためのシンプルで効果的なメカニズムです。ユーザーの最初の要素であるパスワードは、ユーザーが記憶する秘密であり、ナレッジファクターとも呼ばれます。その他の要素としては、所有要素 (セキュリティキーなど、所有しているもの) や継承要素(生体認証のスキャンなど、ユーザーが持っているもの) があります。MFA を設定して、アカウントのセキュリティをさらに強化することを強くお勧めします。
IAM Identity Center MFA は、以下のデバイスタイプをサポートします。すべての MFA タイプは、ブラウザベースのコンソールを通じたアクセスと、AWS CLI IAM Identity Center による v2 の使用の両方でサポートされています。
-
FIDO2 認証機能 は、組み込みの認証機能とセキュリティキーを含みます。
-
RADIUS MFA 独自の実装は AWS Managed Microsoft AD を介して接続されます。
ユーザーは、最大 2 つの仮想認証アプリと 6 つの FIDO 認証機能を含む最大8 台の MFA デバイスを 1 つのアカウントに登録できます。また、ユーザーがサインインするたびに MFA を必須にしたり、サインインするたびに MFA を必須にすることのない信頼されたデバイスを有効にするように、MFA 有効化設定を構成することもできます。ユーザーの MFA タイプを設定する方法の詳細については、「ユーザー認証に MFA タイプを選択する 」と「MFA デバイス強制の設定」を参照してください。
FIDO2 認証機能
FIDO2
AWS は、FIDO 認証システムの最も一般的なフォームの要素は、組み込みの認証アプリシステムとセキュリティキーの 2 つです。FIDO 認証機能の最も一般的なタイプの詳細については、以下を参照してください。
組み込みの認証機能
MacBook の TouchID や、Windows Hello 対応のカメラなどの多数のコンピューターや携帯電話は組み込みの認証アプリシステムを装備しています。デバイスに FIDO 互換の組み込みの認証アプリがある場合は、指紋、顔、またはデバイスの PIN を 2 つ目の要素として使用できます。
セキュリティキー
セキュリティキーは FIDO 互換の外部ハードウェア認証機能です。ご購入の上 USB、BLE、または NFC 経由でデバイスに接続できます。MFA を要求されたら、キーのセンサーでジェスチャーを完了するだけです。セキュリティキーの例としては YubiKeys や Feitian キーがあり、最も一般的なセキュリティキーはデバイス向けの FIDO 認証情報を作成します。互換性のあるFIDO 認定のセキュリティキーの全リストについては、「FIDO 認定製品
パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能
複数のサードパーティプロバイダーが、パスワードマネージャー、FIDO モードのスマートカード、その他のフォームの要素の機能として、モバイルアプリケーションの FIDO 認証をサポートしています。これらの FIDO 互換デバイスは IAM Identity Center で動作しますが、このオプションを MFA で有効にする前に FIDO 認証機能をご自身でテストすることをお勧めします。
注記
FIDO 認証機能の中には、パスキーと呼ばれる検出可能な FIDO 認証情報を作成できるものもあります。パスキーは、パスキーを作成したデバイスにバインドされている場合もあれば、同期可能でクラウドにバックアップされている場合もあります。例えば、サポートされている Macbook で Apple Touch ID を使ってパスキーを登録し、ログイン時に画面に表示される指示に従って iCloud のパスキーで Google Chrome を使って Windows ラップトップからサイトにログインできます。どのデバイスが同期可能なパスキーをサポートしているか、および運用システムとブラウザ間の現在のパスキーの相互運用性をサポートしているかについての詳細は、FIDO Alliance And World Wide Web Consortium (W3C) が管理するリソースである passkeys.dev
仮想認証アプリ
認証アプリは、基本的にワンタイムパスワード (OTP) ベースのサードパーティー認証機能を備えています。モバイルデバイスやタブレットにインストールされた認証アプリケーションを、許可された MFA デバイスとして使用することができます。サードパーティー認証アプリケーションは、6 桁の認証コードを生成できる標準ベースのタイムベースドワンタイムパスワード (TOTP) アルゴリズムである RFC 6238 に準拠している必要があります。
MFA を求めるプロンプトが表示されたら、ユーザーは認証アプリから有効なコードを入力ボックスに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。1 人の ユーザーに対して 2 つの認証アプリを登録することができます。
テスト済みの認証アプリ
TOTP 準拠のアプリケーションはどれも IAM Identity Center MFA と連携して動作します。以下の有名なサードパーティの認証アプリから選択できます。
| オペレーティングシステム | テスト済みの認証アプリ |
|---|---|
| Android | Authy |
| iOS | Authy |
RADIUS MFA
リモート認証ダイヤルインユーザーサービス (RADIUS)
ユーザーポータルへのサインインには、IAM Identity Center で RADIUS MFA または MFA のいずれかを使用できますが、両方を使用することはできません。IAM Identity Center での MFA は、ポータルへのアクセスに AWS ネイティブの二要素認証が必要な場合に、RADIUS MFA の代わりに使用されます。
IAM Identity Center で MFA を有効にすると、ユーザーは AWS アクセスポータルにサインインするために MFA デバイスが必要になります。これまで RADIUS MFA を使用していた場合、IAM Identity Center で MFA を有効にすると、AWS アクセスポータルにサインインしたユーザーの RADIUS MFA が効果的に上書きされます。ただし、RADIUS MFA は、Amazon WorkDocs など、AWS Directory Service と連携する他のすべてのアプリケーションにサインインする際に、ユーザーに課題を与え続けます。
IAM Identity Center コンソールで MFA が 無効 になっていて、AWS Directory Service で RADIUS MFA を設定している場合、RADIUS MFA が AWS アクセスポータルのサインインを管理します。これは、MFA が無効になっている場合、IAM Identity Center は RADIUS MFA 設定にフォールバックすることを意味します。
