Auth0 Dashboardのアクセスに多要素認証を追加する
Auth0 Dashboardユーザーはそれぞれ多要素認証(MFA)に自己登録する必要があります。ほとんどの要素をプロファイルに登録できます。ただし、生体認証デバイスでは段階的登録が必要です。
Auth0では、最も安全で便利な認証方法としてWebAuthn要素を推奨しています。詳細については、「WebAuthnを使ったFIDO認証」をお読みください。
MFAを使用するためには、管理者が少なくとも1つの要素を有効にしなければなりません。Auth0では、プライマリデバイスを失った場合でもアカウントにアクセスできるように、複数の要素をセットアップすることを強くお勧めしています。
以下の3種類の要素を組み合わせるのが理想的です。
プライマリとして、WebAuthn・Guardian・OTPのいずれか
予備として、1つまたは複数のSMS番号(サブスクリプションプランを利用しているテナントのみ利用可)
復旧コード
MFAトークンを提供できず、適切な予備の方法がない場合、アカウントを復旧できない可能性があります。
MFAを追加する
MFAを自己登録するには、Dashboardユーザーがそれぞれ以下の手順に従わなければなりません。
Dashboardの右上隅にあるユーザー名をクリックし、次に[Your Profile(ご自身のプロファイル)]をクリックします。
サポートされているご希望の方法を見つけ、その行の[+ADD(追加)]をクリックします。
画面の指示に従って登録を完了します。
生体認証デバイス
認証方式の中で、生体認証デバイスを使ったWebAuthnだけは[Account Settings(アカウント設定)]では追加できません。代わりに、Auth0はWebAuthn対応のデバイスを段階的登録します。他のMFA方式を登録し終えると、Auth0がデバイスの登録をプロンプトで促します。このプロンプトは、Auth0 Dashboardにログインするたびに表示されます。
登録の一環として、Auth0はデバイスの名前を設定するよう求めます。これは[Account Settings(アカウント設定)]ページから管理しやすくするためです。
Javascriptが無効になっているか、WebAuthnプラットフォームオーセンティケーターに対応していないブラウザーでは、デバイスの生体認証を登録したり、生体認証デバイスを使って認証したりすることはできません。主要なブラウザーやオペレーティングシステムの最新バージョンでは、セキュリティキーを使ったWebAuthnに対応しています。詳細については、webauthn.meのブラウザーサポートセクションをお読みください。
復旧コード
二要素認証の有効化に成功した直後に、復旧コードを書き止めておくように促されます。登録した要素のいずれでもアクセスできなくなってしまった場合には、この復旧コードを使ってアカウントにログインすることができます。Auth0では、復旧コードを印刷するか、パスワードマネージャーなど、安全な場所に保管することをお勧めします。
復旧コードを紛失した場合で、または新しいコードを生成したい場合は、[Your Profile(自身のプロファイル)]から行うことができます。
MFAが有効なDashboardにログインする
MFAが有効な場合のログインは、通常のログインと多少異なります。管理者アカウントの資格情報を入力すると、有効にしたMFA要素の種類に応じて、2つ目のプロンプトが表示されます。
ユーザーが主要な要素にアクセスできなくなった場合は、[Select Another Method(別の方法の選択)]をクリックして、復旧コードを含む他の要素のいずれかを試すことができます。これが、アカウントからロックアウトされることを防ぐために、複数の認証方式を登録することが重要な理由です。
2つ目の認証要素を追加した後で、WebAuthnに対応した新しいデバイスからログインすると、[Log in Faster on this Device(このデバイスで素早くログイン)]することを促すプロンプトが表示されます。これに従うと、次回ログインでそのデバイスを使って多要素認証を行えます。