Oracle Cloud Infrastructureドキュメント

マルチファクタ認証の管理

このトピックでは、Oracle Cloud Infrastructureでマルチファクタ認証(MFA)をユーザーが管理する方法について説明します。

必要なIAMポリシー

ユーザー自身のアカウントでマルチファクタ認証(MFA)を有効にできるのは、そのユーザーのみです。 ユーザーは、自分のアカウントのMFAを無効にすることもできます。 管理者グループのメンバーは、別のユーザーのMFAを無効にできますが、別のユーザーにMFAを有効にすることはできません。

マルチ・ファクタ認証について

マルチファクタ認証は、ユーザーのアイデンティティを確認するために複数のファクタを使用する必要がある認証メソッドです。

MFAがIAMサービスで有効になっている場合、ユーザーがOracle Cloud Infrastructureにサインインすると、ユーザー名とパスワード(最初のファクタ(わかっているもの)の入力を求められます。 この場合、ユーザーは、2番目の係数(自分にあるもの)である、登録済のMFAデバイスから2番目の検証コードを指定するよう求められます。 2つのファクタが連携して動作し、ユーザーのアイデンティティを確認してサインイン・プロセスを完了するために、セキュリティ・レイヤーが別途必要になります。

通常、MFAには次のうちの2つが含まれる場合があります:

  • ユーザーが知っているもの、パスワードなど。

  • ユーザーが持っているもの、デバイスなど。

  • ユーザーであるもの、指紋など。

IAMサービスは、パスワード(最初のファクタ)を使用した2要素認証と、時間ベースの1回かぎりのパスワード(TOTP) (2番目のファクタ)を生成するデバイスをサポートします。

一般的な概念

ここでは、慣れ親しんでおく必要がある基本的な概念のリストを示します。

マルチ・ファクタ認証(MFA)
マルチファクタ認証(MFA)は、ユーザーのアイデンティティを検証するために複数のファクタを使用する必要のある認証メソッドです。 認証ファクタの例として、パスワード(不明なもの)やデバイス(必要なもの)があります。
オーセンティケータ・アプリケーション
モバイル・デバイスにインストールするアプリケーションです。アイデンティティ検証用のソフトウェア・ベースのセキュア・トークンを提供できます。 オーセンティケータ・アプリケーションの例として、Oracle Mobile AuthenticatorやGoogle Authenticatorがあります。 IAMサービスでMFAを有効にするには、認証システム・アプリケーションがインストールされているデバイスが必要です。 アプリケーションを使用してデバイスを登録すると、同じアプリケーション(同じデバイス)を使用して、サインインのたびに時間ベースのワンタイム・パスコードを生成します。
登録済モバイル・デバイス
特定のユーザーおよび特定のデバイスに対して、マルチファクタ認証が有効になっています。 ユーザーのMFAを有効化する手順には、モバイル・デバイスの登録が含まれます。 この同じデバイスを使用すると、ユーザーのサインインのたびに時間ベースのワンタイム・パスコードを生成する必要があります。 登録済のモバイル機器が使用不可になった場合、MFAを新しいデバイスで再度有効にできるように、管理者はユーザーのMFAを無効にする必要があります。
時間ベースのワンタイム・パスワード(TOTP)
TOTPは、RFC 6238で定義されているように、共有秘密キーおよび現在の時間から1回かぎりのパスワードを計算するアルゴリズムによって生成されるパスワード(またはパスコード)です。 登録済モバイル・デバイス上の認証システム・アプリケーションは、Oracle Cloud Infrastructureにサインインするたびに入力が必要なTOTPを生成します。

サポートされているオーセンティケータ・アプリケーション

Oracle Cloud Infrastructure IAMサービスでは、次の認証システム・アプリケーションがテストされました:

  • Oracle Mobile Authenticator
  • Google Authenticator

これらのアプリケーションは、モバイル・デバイス・アプリケーション・ストア内で検索できます。 MFAを有効にする前に、これらのアプリケーションの1つをモバイル・デバイスにインストールする必要があります。

MFAの操作

MFAを有効にする場合は、次の点に注意してください:

  • MFAに登録するモバイル・デバイスには、サポートされているオーセンティケータ・アプリケーションをインストールする必要があります。
  • 各ユーザーは、サインインするたびにアクセス権を持つデバイスを使用して、MFAを有効にする必要があります。 管理者は、別のユーザーにMFAを有効化できません。
  • MFAを有効にするには、モバイル・デバイス・オーセンティケータ・アプリケーションを使用して、IAMサービスにより生成され、コンソールに表示されているQRコードをスキャンします。 QRコードは、アプリケーションと秘密キーを共有して、アプリケーションで、IAMサービスによって検証可能なTOTPを生成できるようにします。
  • ユーザーは、MFAに使用するデバイスを1つのみ登録できます。
  • Oracle Cloud Infrastructureアカウントをオーセンティケータ・アプリケーションに追加すると、オーセンティケータ・アプリケーションにOracle <tenancy_name> - <username>としてアカウント名が表示されます。

サービスへのアクセスをMFA検証済ユーザーのみに制限

リソースへのアクセスを制限できるのは、IAMサービスの時間ベースの1回かぎりのパスワード認証を介して認証されたユーザーのみです。 リソースへのアクセスを許可するポリシーで、この制限を設定します。

ポリシーによって付与されるアクセスをMFA検証済ユーザーのみに制限するには、次のwhere clauseをポリシーに追加します:

where request.user.mfaTotpVerified='true'

たとえば、GroupAにインスタンスの管理を許可するという方針が会社にあるとします:

allow group GroupA to manage instance-family in tenancy

セキュリティを強化するには、MFAを使用して検証されたユーザーのみがインスタンスを管理できるようにする必要があります。 これらのユーザーのみにアクセスを制限するには、次のようにポリシー文を改訂します:

allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

このポリシーを有効にすると、登録済モバイル・デバイスによって生成されるパスワードおよび時間ベースのワンタイム・パスコードの両方を入力して正常にサインインしたGroupAのメンバーのみがインスタンスにアクセスして管理できます。 MFAを有効にせず、パスワードのみを使用してサインインしているユーザーは、インスタンスを管理するためのアクセス権が許可されません。

ポリシーの書込みの詳細は、「ポリシーの構文」を参照してください。

MFAの有効化後のサインイン処理

MFAを有効化した後、次のいずれかの手順を使用してOracle Cloud Infrastructureにサインインします:

コンソールを使用したサインインするには
コマンド・ライン・インタフェース(CLI)を使用してサインインするには

登録済モバイル・デバイスを失った場合の処理

登録されているモバイル機器を紛失した場合は、コンソールを介してOracle Cloud Infrastructureに対して認証できなくなります。 アカウントのマルチファクタ認証の無効化については、管理者に問い合せてください。 このプロセスを繰り返して、新しいモバイル・デバイスでマルチ・ファクタ認証を有効にすることができます。

サインイン失敗後にユーザーをブロック解除

ユーザーがコンソールにサインインするために連続して10回試行すると、それ以降のサインインの試行が自動的にブロックされます。 管理者は、コンソール (「ユーザーをブロック解除するには」を参照)またはUpdateUserState API操作でユーザーをブロック解除できます。

MFAの無効化

各ユーザーは、MFAを自分自身で無効にできます。 管理者は、別のユーザーのMFAを無効化することもできます。

警告

管理者から指示されていない場合、MFAを無効にしないでください。

コンソールの使用

コンソールでMFAを管理するには、次の手順を使用します。

ユーザー・アカウントのMFAを有効化するには
ユーザー・アカウントのMFAを無効化するには
別のユーザーのMFAを無効化するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

ノート

更新プログラムはすべてのリージョンで即時に実行されるわけではありません

IAMリソースはホーム・リージョンにあります。 すべてのリージョンにポリシーを適用するため、IAMサービスは各リージョンのリソースを複製します。 ポリシー、ユーザー、またはグループを作成または変更するたびに、変更はホーム・リージョンで最初に有効になり、その後、他のリージョンに反映されます。 すべてのリージョンで変更が有効になるまで数分かかることがあります。

次のAPI操作を使用して、マルチファクタ認証デバイスを管理します: