翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM Identity Center で使用可能な MFA タイプ
<a name="mfa-types"></a>

多要素認証 (MFA) は、ユーザーのセキュリティを強化するためのシンプルで効果的なメカニズムです。ユーザーの最初の要素であるパスワードは、ユーザーが記憶する秘密であり、ナレッジファクターとも呼ばれます。その他の要素としては、所有要素 (セキュリティキーなど、所有しているもの) や継承要素(生体認証のスキャンなど、ユーザーが持っているもの) があります。MFA を設定して、アカウントのセキュリティをさらに強化することを強くお勧めします。

IAM Identity Center MFA は、以下のデバイスタイプをサポートします。すべての MFA タイプは、ブラウザベースのコンソールアクセスと、IAM Identity Center での AWS CLI v2 の使用の両方でサポートされています。
+ [FIDO2 認証機能](#mfa-types-fido2) は、組み込みの認証機能とセキュリティキーを含みます。
+ [仮想認証アプリ](#mfa-types-apps)
+ 経由で接続された独自の[RADIUS MFA](#about-radius)実装 AWS Managed Microsoft AD

ユーザーは、最大 2 つの仮想認証アプリと 6 つの FIDO 認証機能を含む最大 **8** 台の MFA デバイスを 1 つの AWS アカウントに登録できます。新しいデバイスまたはブラウザからサインインしようとするとき、または不明な IP アドレスからサインインするときに MFA を要求するように MFA を設定することもできます。ユーザーの MFA を設定する方法の詳細については、「[ユーザー認証に MFA タイプを選択する](how-to-configure-mfa-types.md) 」と「[MFA デバイス強制の設定](how-to-configure-mfa-device-enforcement.md)」を参照してください。

## FIDO2 認証機能
<a name="mfa-types-fido2"></a>

[FIDO2](https://fidoalliance.org/fido2/) は CTAP2 と [WebAuthn](https://www.w3.org/TR/webauthn-2/) を含む標準であり、パブリックキー暗号に基づいています。FIDO 認証情報は、認証情報が作成された Web サイト ( AWSなど) 固有のものであるため、フィッシング詐欺に対して強固です。

AWS は、FIDO 認証の最も一般的なフォームファクタとして、組み込み認証とセキュリティキーの 2 つをサポートしています。FIDO 認証機能の最も一般的なタイプの詳細については、以下を参照してください。

**Topics**
+ [組み込みの認証機能](#mfa-types-built-in-auth)
+ [セキュリティキー](#mfa-types-keys)
+ [パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能](#mfa-types-other)

### 組み込みの認証機能
<a name="mfa-types-built-in-auth"></a>

MacBook の TouchID や、Windows Hello 対応のカメラなどの多数のコンピューターや携帯電話は組み込みの認証アプリシステムを装備しています。デバイスに FIDO 互換の組み込みの認証アプリがある場合は、指紋、顔、またはデバイスの PIN を 2 つ目の要素として使用できます。

### セキュリティキー
<a name="mfa-types-keys"></a>

セキュリティキーは FIDO 互換の外部ハードウェア認証機能です。ご購入の上 USB、BLE、または NFC 経由でデバイスに接続できます。MFA を要求されたら、キーのセンサーでジェスチャーを完了するだけです。セキュリティキーの例としては YubiKeys や Feitian キーがあり、最も一般的なセキュリティキーはデバイス向けの FIDO 認証情報を作成します。互換性のあるFIDO 認定のセキュリティキーの全リストについては、「[FIDO 認定製品](https://fidoalliance.org/certification/fido-certified-products/)」 をご覧ください。

### パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能
<a name="mfa-types-other"></a>

複数のサードパーティプロバイダーが、パスワードマネージャー、FIDO モードのスマートカード、その他のフォームの要素の機能として、モバイルアプリケーションの FIDO 認証をサポートしています。これらの FIDO 互換デバイスは IAM Identity Center で動作しますが、このオプションを MFA で有効にする前に FIDO 認証機能をご自身でテストすることをお勧めします。

**注記**  
FIDO 認証機能の中には、パスキーと呼ばれる検出可能な FIDO 認証情報を作成できるものもあります。パスキーは、パスキーを作成したデバイスにバインドされている場合もあれば、同期可能でクラウドにバックアップされている場合もあります。例えば、サポートされている Macbook で Apple Touch ID を使ってパスキーを登録し、ログイン時に画面に表示される指示に従って iCloud のパスキーで Google Chrome を使って Windows ラップトップからサイトにログインできます。どのデバイスが同期可能なパスキーをサポートしているか、および運用システムとブラウザ間の現在のパスキーの相互運用性をサポートしているかについての詳細は、FIDO Alliance And World Wide Web Consortium (W3C) が管理するリソースである [passkeys.dev](https://passkeys.dev/) の [デバイスサポート](https://passkeys.dev/device-support/) を参照してください。

## 仮想認証アプリ
<a name="mfa-types-apps"></a>

認証アプリは、基本的にワンタイムパスワード (OTP) ベースのサードパーティー認証機能を備えています。モバイルデバイスやタブレットにインストールされた認証アプリケーションを、許可された MFA デバイスとして使用することができます。サードパーティー認証アプリケーションは、6 桁の認証コードを生成できる標準ベースのタイムベースドワンタイムパスワード (TOTP) アルゴリズムである RFC 6238 に準拠している必要があります。

MFA を求めるプロンプトが表示されたら、ユーザーは認証アプリから有効なコードを入力ボックスに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。1 人の ユーザーに対して 2 つの認証アプリを登録することができます。

### テスト済みの認証アプリ
<a name="mfa-types-apps-tested"></a>

TOTP 準拠のアプリケーションはどれも IAM Identity Center MFA と連携して動作します。以下の有名なサードパーティの認証アプリから選択できます。


| オペレーティングシステム | テスト済みの認証アプリ | 
| --- | --- | 
| Android | [https://play.google.com/store/apps/details?id=com.authy.authy](https://play.google.com/store/apps/details?id=com.authy.authy), [https://play.google.com/store/apps/details?id=com.duosecurity.duomobile](https://play.google.com/store/apps/details?id=com.duosecurity.duomobile), [https://play.google.com/store/apps/details?id=com.azure.authenticator](https://play.google.com/store/apps/details?id=com.azure.authenticator), [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) | 
| iOS | [https://apps.apple.com/us/app/authy/id494168017](https://apps.apple.com/us/app/authy/id494168017), [https://apps.apple.com/us/app/duo-mobile/id422663827](https://apps.apple.com/us/app/duo-mobile/id422663827), [https://apps.apple.com/us/app/microsoft-authenticator/id983156458](https://apps.apple.com/us/app/microsoft-authenticator/id983156458), [https://apps.apple.com/us/app/google-authenticator/id388497605](https://apps.apple.com/us/app/google-authenticator/id388497605) | 

## RADIUS MFA
<a name="about-radius"></a>

[リモート認証ダイヤルインユーザーサービス (RADIUS)](https://en.wikipedia.org/wiki/RADIUS) は、ユーザーがネットワークサービスに接続できるように認証、認可、およびアカウンティング管理を提供する業界標準のクライアント/サーバープロトコルです。 には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアント Directory Service が含まれています。詳細については、[「 AWS Managed Microsoft ADの多要素認証を有効にする」](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) を参照してください。

ユーザーポータルへのサインインには、IAM Identity Center で RADIUS MFA または MFA のいずれかを使用できますが、両方を使用することはできません。IAM Identity Center の MFA は、ポータルへのアクセスに AWS ネイティブの 2 要素認証が必要な場合の RADIUS MFA の代替手段です。

IAM Identity Center で MFA を有効にすると、ユーザーは AWS アクセスポータルにサインインするために MFA デバイスが必要になります。以前に RADIUS MFA を使用したことがある場合は、IAM Identity Center で MFA を有効にすると、 AWS アクセスポータルにサインインするユーザーの RADIUS MFA が効果的に上書きされます。ただし、RADIUS MFA は、Amazon RDS for SQL Server など Directory Service、 が動作する他のすべてのアプリケーションにサインインするときに、引き続きユーザーにチャレンジします。

IAM Identity Center コンソール****で MFA が無効になっており、RADIUS MFA を設定している場合 Directory Service、RADIUS MFA が AWS アクセスポータルのサインインを管理します。これは、MFA が無効になっている場合、IAM Identity Center は RADIUS MFA 設定にフォールバックすることを意味します。