IAM Identity Center で使用可能な MFA タイプ - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center で使用可能な MFA タイプ

多要素認証 (MFA) は、ユーザーのセキュリティを強化するためのシンプルで効果的なメカニズムです。ユーザーの最初の要素であるパスワードは、ユーザーが記憶する秘密であり、ナレッジファクターとも呼ばれます。その他の要素としては、所有要素 (セキュリティキーなど、所有しているもの) や継承要素(生体認証のスキャンなど、ユーザーが持っているもの) があります。MFA を設定して、アカウントのセキュリティをさらに強化することを強くお勧めします。

IAM Identity Center MFA は、以下のデバイスタイプをサポートします。すべての MFA タイプは、ブラウザベースのコンソールを通じたアクセスと、AWS CLI IAM Identity Center による v2 の使用の両方でサポートされています。

ユーザーは、最大 2 つの仮想認証アプリと 6 つの FIDO 認証機能を含む最大8 台の MFA デバイスを 1 つのアカウントに登録できます。また、ユーザーがサインインするたびに MFA を必須にしたり、サインインするたびに MFA を必須にすることのない信頼されたデバイスを有効にするように、MFA 有効化設定を構成することもできます。ユーザーの MFA タイプを設定する方法の詳細については、「MFA タイプの選択 」と「MFA デバイス強制の設定」を参照してください。

FIDO2 認証機能

FIDO2 は CTAP2 と WebAuthn を含む標準であり、パブリックキー暗号に基づいています。FIDO 認証情報は、認証情報が作成された Web サイト (AWS など) 固有のものであるため、フィッシング詐欺に対して強固です。

AWS は、FIDO 認証システムの最も一般的なフォームの要素は、組み込みの認証アプリシステムとセキュリティキーの 2 つです。FIDO 認証機能の最も一般的なタイプの詳細については、以下を参照してください。

組み込みの認証機能

MacBook の TouchID や、Windows Hello 対応のカメラなどの多数のコンピューターや携帯電話は組み込みの認証アプリシステムを装備しています。デバイスに FIDO 互換の組み込みの認証アプリがある場合は、指紋、顔、またはデバイスの PIN を 2 つ目の要素として使用できます。

セキュリティキー

セキュリティキーは FIDO 互換の外部ハードウェア認証機能です。ご購入の上 USB、BLE、または NFC 経由でデバイスに接続できます。MFA を要求されたら、キーのセンサーでジェスチャーを完了するだけです。セキュリティキーの例としては YubiKeys や Feitian キーがあり、最も一般的なセキュリティキーはデバイス向けの FIDO 認証情報を作成します。互換性のあるFIDO 認定のセキュリティキーの全リストについては、「FIDO 認定製品」 をご覧ください。

パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能

複数のサードパーティプロバイダーが、パスワードマネージャー、FIDO モードのスマートカード、その他のフォームの要素の機能として、モバイルアプリケーションの FIDO 認証をサポートしています。これらの FIDO 互換デバイスは IAM Identity Center で動作しますが、このオプションを MFA で有効にする前に FIDO 認証機能をご自身でテストすることをお勧めします。

注記

FIDO 認証機能の中には、パスキーと呼ばれる検出可能な FIDO 認証情報を作成できるものもあります。パスキーは、パスキーを作成したデバイスにバインドされている場合もあれば、同期可能でクラウドにバックアップされている場合もあります。例えば、サポートされている Macbook で Apple Touch ID を使ってパスキーを登録し、ログイン時に画面に表示される指示に従って iCloud のパスキーで Google Chrome を使って Windows ラップトップからサイトにログインできます。どのデバイスが同期可能なパスキーをサポートしているか、および運用システムとブラウザ間の現在のパスキーの相互運用性をサポートしているかについての詳細は、FIDO Alliance And World Wide Web Consortium (W3C) が管理するリソースである passkeys.devデバイスサポート を参照してください。

仮想認証アプリ

認証アプリは、基本的にワンタイムパスワード (OTP) ベースのサードパーティー認証機能を備えています。モバイルデバイスやタブレットにインストールされた認証アプリケーションを、許可された MFA デバイスとして使用することができます。サードパーティー認証アプリケーションは、6 桁の認証コードを生成できる標準ベースのタイムベースドワンタイムパスワード (TOTP) アルゴリズムである RFC 6238 に準拠している必要があります。

MFA を求めるプロンプトが表示されたら、ユーザーは認証アプリから有効なコードを入力ボックスに入力する必要があります。ユーザーに割り当てられた各 MFA デバイスは一意であることが必要です。1 人の ユーザーに対して 2 つの認証アプリを登録することができます。

テスト済みの認証アプリ

TOTP 準拠のアプリケーションはどれも IAM Identity Center MFA と連携して動作します。以下の有名なサードパーティの認証アプリから選択できます。

オペレーティングシステム テスト済みの認証アプリ
Android Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator
iOS Authy, Duo Mobile, Microsoft Authenticator, Google Authenticator

RADIUS MFA

リモート認証ダイヤルインユーザー サービス (RADIUS) は、業界標準のクライアント/サーバープロトコルであり、ユーザーをネットワークサービスに接続するための認証、認可、アカウント管理を行うことができます。AWS Directory Service には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアントが付属しています。詳細については、「AWS Managed Microsoft AD の多要素認証を有効にする」 を参照してください。

ユーザーポータルへのサインインには、IAM Identity Center で RADIUS MFA または MFA のいずれかを使用できますが、両方を使用することはできません。IAM Identity Center での MFA は、ポータルへのアクセスに AWS ネイティブの二要素認証が必要な場合に、RADIUS MFA の代わりに使用されます。

IAM Identity Center で MFA を有効にすると、ユーザーは AWS アクセスポータルにサインインするために MFA デバイスが必要になります。これまで RADIUS MFA を使用していた場合、IAM Identity Center で MFA を有効にすると、AWS アクセスポータルにサインインしたユーザーの RADIUS MFA が効果的に上書きされます。ただし、RADIUS MFA は、Amazon WorkDocs など、AWS Directory Service と連携する他のすべてのアプリケーションにサインインする際に、ユーザーに課題を与え続けます。

IAM Identity Center コンソールで MFA が 無効 になっていて、AWS Directory Service で RADIUS MFA を設定している場合、RADIUS MFA が AWS アクセスポータルのサインインを管理します。これは、MFA が無効になっている場合、IAM Identity Center は RADIUS MFA 設定にフォールバックすることを意味します。