多要素認証の要素
Auth0は多要素認証(MFA)でユーザーアカウントアクセスを保護するための様々なオプションや要素をサポートしています。
テナントで使用するMFA要素を選択するには、[ダッシュボード(Dashboard)] > [セキュリティ(Security)] > [他要素認証(Multi-factor Auth)]に進みます。MFAを使用するためには、テナントで少なくとも1つの要素を有効にしなければなりません。利用可能な要素は、サブスクリプションプランによって異なります。詳細については、「Auth0の価格設定」をお読みください。
要素
Auth0は、MFAの実装について以下の要素をサポートしています。
プッシュ通知
登録済みデバイス(一般的に携帯電話やタブレット)にプッシュ通知を送信します。ユーザーはボタンを押すだけで、デバイスから即座にアカウントへのアクセスを許可または拒否することができます。プッシュ要素は、iOSとAndroidの両方でAuth0 Guardianモバイルアプリを使用して提供されます。詳細については、「Auth0 Guardian」をお読みください。
顧客に別のアプリケーションをダウンロードさせたくない場合、Auth0は、既存のモバイルデバイスアプリに第二要素ワークフローを構築するためのGuardian SDKも提供します。詳細については、「Guardian SDKをインストールする」をお読みください。
SMS通知
SMSでワンタイムコードをユーザーに送信します。ユーザーが認証を完了するには、このコードを入力する必要があります。詳細については、「MFAにSMSと音声通知を構成する」を参照してください。
音声通知
音声通話を使ってユーザーにワンタイムコードを提供します。ユーザーが認証を完了するには、このコードを入力する必要があります。詳細については、「MFAにSMSと音声通知を構成する」を参照してください。
ワンタイムパスワード
ワンタイムパスワードによって、Google Authenticatorなどのユーザーの個人デバイス上の認証アプリケーションを使用して、時間の経過とともに変わり、アカウントの検証のための第二要素として入力できるワンタイムパスワードを生成できます。詳細については、「MFAにOTP通知を構成する」を参照してください。
セキュリティキーを使用したWebAuthn
ユーザーがFIDO準拠のセキュリティキー(Yubikey、Google Titanなど)を使用してMFAを実行できるようにします。詳細については、「MFAのためにセキュリティキーを使ってWebAuthnを構成する」をご覧ください。
WebAuthnとデバイスの生体認証
ユーザーがMacBookのTouchBar、Windows Hello、iOS Touch/FaceId、Androidの指紋認証/顔認証などのプラットフォームAuthenticatorを使用してMFAを実行できるようにします。詳細については、「MFAのためにデバイス生体認証を使ってWebAuthnを構成する」をご覧ください。
メール通知
ユーザーが他の認証要素を使用できない場合、メールで配信されるワンタイムパスワードを使用してMFAを実行できるようにします。詳細については、「MFAにメール通知を構成する」を参照してください。
Cisco Duo Security
Cisco Duoは多角的なプロバイダーであり、ユーザーが利用できる唯一の要素である場合にのみ使用できます。Duoアカウントを使用して、Auth0でMFAを管理します。詳細については、「MFAのためにCisco Duo Securityを構成する」をご覧ください。
復旧コード
復旧コードは、MFAエンロールメントに使用したデバイスやアカウントにアクセスできない場合、ユーザーがアカウントアクセスを回復できるようにする一意のコードです。詳細については、「MFAに復旧コードを構成する」を参照してください。
ポリシー
ポリシーは、ユーザーが特定のアカウントを所有していることを証明するため、追加ステップを完了するよう促されるタイミングを決定します。ポリシーを使用して、許容可能なリスクのレベルを定義します。[絶対にしない(Never)]、[Adaptive MFAを使用(Use Adaptive MFA)]、[常にする(Always)]から選択できます。
Auth0 Actionsを使用することで、より詳細な多要素構成(アプリケーションごと、ユーザーごと、など)を行うことができます。詳細については、「Auth0 Actions」をお読みください。
詳細については、「OpenIDの定義された認証ポリシー」をお読みください。
ユースケース
MFAを管理する方法は環境によって異なります。
B2B:顧客はユーザーのMFA要素を管理します。
B2C:エンドユーザーは、[MFA設定(My MFA Settings)]ページでMFA要素を管理します。
B2E:ユーザーのMFA要素を管理します。
MFA要素を管理するユーザーインタフェースを構築するために使用できるAPIエンドポイントの詳細については、「MFA APIを使用した認証機能の管理」を参照してください。
さまざまなタイプのリソースへのアクセスを許可するアプリケーションが、機密リソースにアクセスするユーザーに、より強力な認証メカニズムを使用して認証するよう要求できます。詳細については、「ステップアップ認証」を参照してください。
アクションを作成するには、[ダッシュボード(Dashboard)] > [アクション(Actions)] > [フロー(Flows)]に移動し、認証チャレンジをトリガーする条件を定義します。その他のトリガーとしては、アクションを使用して、特定のアプリケーションのユーザーや、特定のユーザーメタデータまたはIP範囲を持つユーザーに対して、MFAを強制することなどが挙げられます。
セキュリティの向上のために顧客に追加認証チャレンジをトリガーする任意の条件を定義できるコンテキストMFAを追加します。たとえば、地理的な場所(ジオフェンシング)、使用するネットワークのアドレスまたはタイプ(IPフィルタリング)、時間帯、曜日、ログインに使用されている場所またはデバイスの変更などです。