ダッシュボードユーザー向けの多要素認証
多要素認証(MFA)は、Auth0アカウントのセキュリティをさらに向上させます。MFAを有効にしているユーザーがAuth0 Dashboardにログインすると、Auth0は資格情報に加えて、別の識別情報を1つ要求します。こうすることで、不正者にユーザー名とパスワードが漏洩した場合でも、正当なユーザーのみがアカウントにアクセスできるようにします。
Dashboardのユーザーは、[Your Profile(ユーザープロファイル)]内のMFAで自己登録できます。[Auth0 Dashboard] > [Settings(設定)] > [Tenant Members(テナントメンバー)]リスト内のMFAインジケーターでは、ユーザーが自身のアカウントのMFAを有効にしているかどうかを識別します。
Auth0はDashboardのユーザーついて、以下の認証要素に対応しています。
WebAuthnとFIDOセキュリティキー:WebAuthnのローミングAuthenticatorは、YubiKeyなど、削除可能かつプラットフォーム間共通で、複数のデバイス上で使用できます。ローミングオーセンティケーターで認証するには、(USB・NFC・Bluetoothなどを介して)オーセンティケーターをデバイスに接続し、存在を証明(タッチするなど)します。
WebAuthnとデバイスの生体認証:WebAuthnプラットフォームAuthenticatorはデバイスに統合され、そのデバイスでのみ動作します。たとえば、MacBookのTouchBar、Windows Hello、iOSのTouch/FaceId、Androidの指紋/顔認証などです。これらは統合されたデバイスでのみ動作するため、デバイスの生体認証を登録する前に、ユーザーは少なくとも他の1つの要素をプロファイルに登録しておく必要があります。
Guardianを使ったプッシュ通知:ユーザーの事前登録済みデバイス(一般的には携帯電話やタブレット)にプッシュ通知を送信します。ユーザーはボタン1つでアカウントへのアクセスが即座に許可または拒否されます。プッシュ要素は、iOSとAndroidでGuardianモバイルアプリを使用して提供されます。
ワンタイムパスワード(OTP):ユーザーが自分の個人デバイスでAuthenticatorアプリ(Google Authenticatorなど)を使用ができるようにします。アプリが時間の経過と共に変化するOTPを生成し、それをアカウント検証の第2要素として入力することができます。
SMS通知:SMSを使ってワンタイムコードを送信します。Auth0は、認証を完了する前に、ユーザーにコードの入力を求めます。SMSを使ったMFAは、サブスクリプションプランのあるテナントにのみ利用することができます。
Dashboard MFA内での登録方法については、「Auth0 Dashboardのアクセスに多要素認証を追加する」をお読みください。
Auth0では、最も安全で便利な認証方法としてWebAuthn要素を推奨しています。詳細については、「WebAuthnを使ったFIDO認証」をお読みください。
MFAを使用するためには、管理者が少なくとも1つの要素を有効にしなければなりません。Auth0では、プライマリデバイスを失った場合でもアカウントにアクセスできるように、複数の要素をセットアップすることを強くお勧めしています。
以下の3種類の要素を組み合わせるのが理想的です。
プライマリとして、WebAuthn・Guardian・OTPのいずれか
予備として、1つまたは複数のSMS番号(サブスクリプションプランを利用しているテナントのみ利用可)
復旧コード
MFAトークンを提供できず、適切な予備の方法がない場合、アカウントを復旧できない可能性があります。