翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center で使用可能な MFA タイプ
多要素認証 (MFA) は、ユーザーのセキュリティを強化するためのシンプルで効果的なメカニズムです。ユーザーの最初の要素であるパスワードは、ユーザーが記憶する秘密であり、ナレッジファクターとも呼ばれます。その他の要素としては、所有要素 (セキュリティキーなど、所有しているもの) や継承要素(生体認証のスキャンなど、ユーザーが持っているもの) があります。MFA を設定して、アカウントのセキュリティをさらに強化することを強くお勧めします。
IAM Identity Center MFA は、以下のデバイスタイプをサポートします。すべての MFA タイプは、ブラウザベースのコンソールアクセスと v2 AWS CLI と IAM アイデンティティセンターの両方でサポートされています。
-
FIDO2 認証機能 は、組み込みの認証機能とセキュリティキーを含みます。
-
を介して接続された独自のRADIUS MFA実装 AWS Managed Microsoft AD
ユーザーは、最大 2 つの仮想認証アプリケーションと 6 つの FIDO 認証を含む最大 8 つの MFA デバイスを持つことができ、1 つに登録されます AWS アカウント。新しいデバイスやブラウザからサインインしようとするとき、または不明な IP アドレスからサインインするときに MFA を要求するように MFA 設定を構成することもできます。ユーザーの MFA 設定を構成する方法の詳細については、ユーザー認証に MFA タイプを選択する「」および「」を参照してくださいMFA デバイス強制の設定。
FIDO2 認証機能
FIDO2
AWS は、FIDO 認証の最も一般的なフォームファクタとして、組み込み認証機能とセキュリティキーの 2 つをサポートしています。FIDO 認証機能の最も一般的なタイプの詳細については、以下を参照してください。
組み込みの認証機能
MacBook の TouchID や、Windows Hello 対応のカメラなどの多数のコンピューターや携帯電話は組み込みの認証アプリシステムを装備しています。デバイスに FIDO 互換の組み込みの認証アプリがある場合は、指紋、顔、またはデバイスの PIN を 2 つ目の要素として使用できます。
セキュリティキー
セキュリティキーは FIDO 互換の外部ハードウェア認証機能です。ご購入の上 USB、BLE、または NFC 経由でデバイスに接続できます。MFA を要求されたら、キーのセンサーでジェスチャーを完了するだけです。セキュリティキーの例としては YubiKeys や Feitian キーがあり、最も一般的なセキュリティキーはデバイス向けの FIDO 認証情報を作成します。互換性のあるFIDO 認定のセキュリティキーの全リストについては、「FIDO 認定製品
パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能
複数のサードパーティプロバイダーが、パスワードマネージャー、FIDO モードのスマートカード、その他のフォームの要素の機能として、モバイルアプリケーションの FIDO 認証をサポートしています。これらの FIDO 互換デバイスは IAM Identity Center で動作しますが、このオプションを MFA で有効にする前に FIDO 認証機能をご自身でテストすることをお勧めします。
注記
FIDO 認証機能の中には、パスキーと呼ばれる検出可能な FIDO 認証情報を作成できるものもあります。パスキーは、パスキーを作成したデバイスにバインドされている場合もあれば、同期可能でクラウドにバックアップされている場合もあります。例えば、サポートされている Macbook で Apple Touch ID を使ってパスキーを登録し、ログイン時に画面に表示される指示に従って iCloud のパスキーで Google Chrome を使って Windows ラップトップからサイトにログインできます。どのデバイスが同期可能なパスキーをサポートしているか、および運用システムとブラウザ間の現在のパスキーの相互運用性をサポートしているかについての詳細は、FIDO Alliance And World Wide Web Consortium (W3C) が管理するリソースである passkeys.dev
仮想認証アプリ
認証アプリは、基本的にワンタイムパスワード (OTP) ベースのサードパーティー認証機能を備えています。モバイルデバイスやタブレットにインストールされた認証アプリケーションを、許可された MFA デバイスとして使用することができます。サードパーティー認証アプリケーションは、6 桁の認証コードを生成できる標準ベースのタイムベースドワンタイムパスワード (TOTP) アルゴリズムである RFC 6238 に準拠している必要があります。
MFA を求めるプロンプトが表示されたら、ユーザーは認証アプリから有効なコードを入力ボックスに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。1 人の ユーザーに対して 2 つの認証アプリを登録することができます。
テスト済みの認証アプリ
TOTP 準拠のアプリケーションはどれも IAM Identity Center MFA と連携して動作します。以下の有名なサードパーティの認証アプリから選択できます。
| オペレーティングシステム | テスト済みの認証アプリ |
|---|---|
| Android | Authy |
| iOS | Authy |
RADIUS MFA
Remote Authentication Dial-In User Service (RADIUS)
ユーザーポータルへのサインインには、IAM Identity Center で RADIUS MFA または MFA のいずれかを使用できますが、両方を使用することはできません。IAM Identity Center の MFA は、ポータルへのアクセスに AWS ネイティブの 2 要素認証が必要な場合に RADIUS MFA に代わるものです。
IAM Identity Center で MFA を有効にすると、ユーザーは AWS アクセスポータルにサインインするために MFA デバイスが必要になります。以前に RADIUS MFA を使用したことがある場合は、IAM Identity Center で MFA を有効にすると、 AWS アクセスポータルにサインインするユーザーの RADIUS MFA が効果的に上書きされます。ただし、RADIUS MFA は、Amazon WorkDocs など AWS Directory Service、 が動作する他のすべてのアプリケーションにサインインするときに、ユーザーに引き続きチャレンジを行います。
IAM Identity Center コンソールで MFA が無効になっており、RADIUS MFA を設定している場合 AWS Directory Service、RADIUS MFA が AWS アクセスポータルのサインインを管理します。これは、MFA が無効になっている場合、IAM Identity Center は RADIUS MFA 設定にフォールバックすることを意味します。
