バックアップコード
概念
バックアップコード(リカバリーコードとも呼ばれます)は、多要素認証 (MFA) のための使い捨てコードであり、ユーザーの主要な認証要素(例:認証アプリやハードウェアトークン)が利用できない場合のバックアップとして機能します。
これらを紛失するとアカウントの復旧が困難になる場合があります。そのため、バックアップコードを有効にする前に追加の主要要素を設定し、優先順位を高くすることを推奨します。
Logto は、ユーザーが追加要素を設定すると自動的に 10 個のバックアップコードを生成します。各コードは一度しか使用できません。すべての既存コードを使い切る前に、ユーザーアカウント設定(Management API からアクセス可能)で新しいコードセットを再生成することを推奨します。
MFA 用バックアップコードの設定
- コンソール > 多要素認証 (MFA)
- 「バックアップコード」要素を有効にします。バックアップコードは唯一の MFA 要素としては使用できません。他の主要な MFA 要素(パスキー、認証アプリ、SMS、メール)と組み合わせて使用する必要があります。
- 希望する MFA ポリシー(必須または任意)を設定します
- 設定変更を保存します
バックアップコード管理の設定
Account API を利用して、ユーザーがバックアップコードを表示・再生成・削除できるカスタムアカウント管理インターフェースを構築できます。これにより、アプリケーションのアカウント設定から直接リカバリーオプションを管理できるようになります。
詳細な実装手順や API エンドポイントについては、Account API によるアカウント設定 を参照してください。
バックアップコードのセットアップフロー
バックアップコードは二次的な MFA 要素であるため、主要な MFA 要素が正常に設定された後にのみセットアップできます。自動生成された 10 個のバックアップコードがユーザーに表示され、ダウンロードや安全なコピーが可能です。ユーザーは MFA セットアッププロセスを完了するために、バックアップコードを手動で確認する必要があります。
バックアップコードの認証フロー
バックアップコードは、主要な MFA 要素が利用できない場合の緊急認証手段として機能します。各コードは一度しか使用できず、認証に成功すると無効になります。
認証の優先順位:
- まず主要要素:他の MFA 要素が設定されている場合、主要要素(パスキー、TOTP、SMS、メール)が最初に求められます。
- バックアップコードへの切り替え:主要要素が利用できない場合、「他の方法で認証する」をクリックしてバックアップコードに切り替えることができます。
- フォールバックシナリオ:すべての主要要素が削除された場合、バックアップコードが唯一の認証手段となります。サインイン時にバックアップコードで MFA 認証に成功すると、Logto は自動的に新しい主要要素のセットアップを促します。
