メインコンテンツまでスキップ

MFA を設定する

Logto で MFA 設定を行う

ユーザーの Logto サインインフローで MFA を有効にするには、次の手順に従ってください:

  1. 移動先:Console > Multi-factor auth
  2. ユーザーのためにサポートされている検証要素を有効にします。
    1. 主要素:
      • Authenticator App OTP:最も一般的で広く受け入れられている方法です。Google Authenticator や Authy などの認証アプリによって生成される時間ベースのワンタイムパスワード (TOTP) を使用します。
      • Passkeys (WebAuthn):デバイスの生体認証やセキュリティキーをサポートする Web 製品に適した高セキュリティオプションで、強力な保護を保証します。
    2. バックアップ要素:
      • バックアップコード:上記の主要要素のいずれも検証できない場合のバックアップオプションとして機能します。このオプションを有効にすることで、ユーザーのアクセスの成功を妨げることを減少させます。
  3. Require MFA を有効にするかどうかを選択します:
    • 有効にする:ユーザーはサインインプロセス中に MFA を設定するよう求められ、スキップすることはできません。ユーザーが MFA を設定しないか、MFA 設定を削除した場合、再度 MFA を設定するまでアカウントにアクセスできなくなります。
    • 無効にする:ユーザーはサインアップフロー中に MFA 設定プロセスをスキップできます。後でセルフサービスのアカウント設定ページを通じて MFA を設定することができます。ユーザーアカウント設定ページの実装について 詳しくはこちら をご覧ください。そして、MFA 設定プロンプトのポリシーを選択し続けます:
      • ユーザーに MFA の設定を求めない:ユーザーはサインイン中に MFA を設定するよう求められません。
      • 登録時にユーザーに MFA の設定を求める:新しいユーザーは登録時に MFA を設定するよう求められ、既存のユーザーは次回のサインイン時にプロンプトが表示されます。ユーザーはこのステップをスキップでき、再度表示されることはありません。
      • 登録後のサインイン時にユーザーに MFA の設定を求める:新しいユーザーは登録後の2回目のサインイン時に MFA を設定するよう求められ、既存のユーザーは次回のサインイン時にプロンプトが表示されます。ユーザーはこのステップをスキップでき、再度表示されることはありません。
MFA 設定
注記:

組織 (Organizations) をサポートするマルチテナントアーキテクチャを持つ製品の場合、すべてのユーザーに MFA を要求する必要はほとんどありません。代わりに、MFA は組織ごとに有効にでき、各クライアントのニーズに基づいて要件を調整できます。開始するには、組織メンバーに MFA を要求する を参照してください。

MFA ユーザーフロー

MFA 設定フロー

MFA が有効になると、ユーザーはサインインおよびサインアッププロセス中に MFA を設定するよう求められます。「ユーザー制御の MFA」ポリシーが有効になっている場合に限り、ユーザーはこの設定プロセスをスキップできます。

  1. サインインまたはサインアップページにアクセス:ユーザーはサインインまたはサインアップページに移動します。
  2. サインインまたはサインアップを完了:ユーザーはサインインまたはサインアップフロー内でアイデンティティ検証プロセスを完了します。
  3. MFA 主要素を設定:ユーザーは、主 MFA 要素(Authenticator アプリ OTP または WebAuthn)の設定を求められます。複数の主要素が有効になっている場合、ユーザーは好みのオプションを選択できます。「ユーザー制御の MFA」ポリシーが有効になっている場合、ユーザーは「スキップ」ボタンを選択してこのステップをスキップすることもできます。
  4. MFA バックアップ要素を設定バックアップコードが有効になっている場合、ユーザーは主要な認証要素を正常に設定した後にバックアップコードを設定するよう求められます。自動生成されたバックアップコードがユーザーに表示され、ダウンロードして安全に保管することができます。ユーザーはバックアップコードを手動で確認して、MFA 設定プロセスを完了する必要があります。
MFA 設定フロー

MFA 検証フロー

MFA を設定したユーザーは、サインイン時に設定された MFA 要素を使用してアイデンティティを確認するよう求められます。検証要素は、Logto の MFA 設定とユーザー設定に依存します。

  • ユーザーが 1 つの要素のみを設定している場合、それを直接確認します。
  • ユーザーが複数の要素を 2FA として設定している場合、確認する要素を選択する必要があります。
  • 有効な主要素がすべてユーザーに利用できない場合、バックアップコードが有効になっている場合、ワンタイムバックアップコードを使用してアイデンティティを確認できます。
MFA 検証フロー