MFA を設定する
Logto で MFA 設定を構成する
ユーザーの Logto サインインフローで MFA を有効にするには、次の手順に従ってください:
- 移動先:Console > Multi-factor auth。
- ユーザーに対してサポートされている検証要素を有効にします。
- 主な要素:
- Authenticator App OTP:最も一般的で広く受け入れられている方法です。Google Authenticator や Authy などの認証アプリによって生成される時間ベースのワンタイムパスワード (TOTP) を使用します。
- Passkeys (WebAuthn):デバイスの生体認証やセキュリティキーをサポートする Web 製品に適した高セキュリティオプションで、堅牢な保護を確保します。
- バックアップ要素:
- バックアップコード:これは、上記の主な要素を検証できない場合のバックアップオプションとして機能します。このオプションを有効にすると、ユーザーのアクセスがスムーズになります。
- 主な要素:
- Require MFA を有効にするかどうかを選択します:
- 有効にする:ユーザーはサインインプロセス中に MFA の設定を求められ、スキップすることはできません。ユーザーが MFA の設定に失敗したり、MFA 設定を削除した場合、再度 MFA を設定するまでアカウントにアクセスできなくなります。
- 無効にする:ユーザーはサインアップフロー中に MFA 設定プロセスをスキップできます。後でセルフサービスのアカウント設定ページを通じて MFA を設定できます。ユーザーアカウント設定ページの実装について 詳細を学ぶ。そして、MFA 設定プロンプトのポリシーを選択し続けます:
- ユーザーに MFA の設定を求めない:ユーザーはサインイン中に MFA の設定を求められません。
- 登録時にユーザーに MFA の設定を求める:新しいユーザーは登録時に MFA の設定を求められ、既存のユーザーは次回のサインイン時にプロンプトが表示されます。ユーザーはこのステップをスキップでき、再度表示されることはありません。
- 登録後のサインイン時にユーザーに MFA の設定を求める:新しいユーザーは登録後の2回目のサインイン時に MFA の設定を求められ、既存のユーザーは次回のサインイン時にプロンプトが表示されます。ユーザーはこのステップをスキップでき、再度表示されることはありません。
MFA ユーザーフロー
MFA 設定フロー
MFA が有効になると、ユーザーはサインインおよびサインアッププロセス中に MFA の設定を求められます。「ユーザー制御の MFA」ポリシーが有効になっている場合に限り、ユーザーはこの設定プロセスをスキップできます。
- サインインまたはサインアップページにアクセス:ユーザーはサインインまたはサインアップページに移動します。
- サインインまたはサインアップを完了:ユーザーはサインインまたはサインアップフロー内でアイデンティティ検証プロセスを完了します。
- MFA 主な要素を設定:ユーザーは主な MFA 要素(Authenticator アプリ OTP または WebAuthn)の設定を求められます。複数の主な要素が有効になっている場合、ユーザーは好みのオプションを選択できます。「ユーザー制御の MFA」ポリシーが有効になっている場合、ユーザーは「スキップ」ボタンを選択してこのステップをスキップすることもできます。
- MFA バックアップ要素を設定:バックアップコードが有効になっている場合、ユーザーは主な認証要素を正常に設定した後にバックアップコードの設定を求められます。自動生成されたバックアップコードがユーザーに表示され、ダウンロードして安全に保管できます。ユーザーはバックアップコードを手動で確認して MFA 設定プロセスを完了する必要があります。
MFA 検証フロー
MFA を設定したユーザーは、サインイン時に設定された MFA 要素を使用してアイデンティティを確認するよう求められます。検証要素は、Logto の MFA 設定とユーザー設定に依存します。
- ユーザーが 1 つの要素のみを設定している場合、それを直接確認します。
- ユーザーが複数の要素を 2FA として設定している場合、確認する要素を選択する必要があります。
- 有効な主な要素がすべてユーザーに利用できず、バックアップコードが有効になっている場合、ワンタイムバックアップコードを使用してアイデンティティを確認できます。
