メインコンテンツまでスキップ

多要素認証 (MFA) の設定

Logto での MFA 設定

Logto は、さまざまなセキュリティ要件に対応する柔軟な MFA 設定オプションを提供しています。すべてのユーザーに対してグローバルレベルで MFA を設定することも、マルチテナントアプリケーション向けに組織単位で有効化することも可能です。

グローバル MFA 設定

ユーザーの Logto サインインフローで MFA を有効にするには、以下の手順に従ってください:

  1. コンソール > 多要素認証 (MFA) に移動します。
  2. ユーザー向けにサポートされている認証要素を有効にします。
    1. プライマリ要素:
      • 認証アプリ OTP:最も一般的で広く受け入れられている方法です。Google Authenticator や Authy などの認証アプリによって生成される時限式ワンタイムパスワード (TOTP) を使用します。
      • パスキー (WebAuthn):デバイスの生体認証やセキュリティキーなどをサポートする Web 製品向けの高セキュリティオプションで、強力な保護を実現します。
    2. バックアップ要素:
      • バックアップコード:上記のプライマリ要素で認証できない場合のバックアップオプションです。このオプションを有効にすることで、ユーザーのアクセス成功率が向上します。
  3. MFA 必須を有効にするかどうかを選択します:
    • 有効:ユーザーはサインイン時に MFA の設定を求められ、スキップできません。MFA の設定に失敗したり、MFA 設定を削除した場合、再度 MFA を設定するまでアカウントにアクセスできなくなります。
    • 無効:ユーザーはサインアップフロー中に MFA 設定をスキップできます。後からセルフサービスのアカウント設定ページで MFA を設定できます。詳細はこちら でユーザーアカウント設定ページの実装方法を確認できます。さらに MFA 設定プロンプトのポリシーを選択します:
      • ユーザーに MFA 設定を求めない:サインイン時に MFA 設定を求められません。
      • 登録時に MFA 設定を求める:新規ユーザーは登録時に MFA 設定を求められ、既存ユーザーは次回サインイン時にプロンプトが表示されます。ユーザーはこのステップをスキップでき、再度表示されません。
      • 登録後のサインイン時に MFA 設定を求める:新規ユーザーは登録後 2 回目のサインイン時に MFA 設定を求められ、既存ユーザーは次回サインイン時にプロンプトが表示されます。ユーザーはこのステップをスキップでき、再度表示されません。
MFA 設定

組織単位の MFA 設定

組織 (Organizations) をサポートするマルチテナントアーキテクチャのプロダクトでは、すべてのユーザーに MFA を必須とする必要はありません。代わりに、組織ごとに MFA を有効化でき、各クライアントのニーズに合わせて要件を調整できます。始めるには、組織メンバーに MFA を必須とする を参照してください。

MFA ユーザーフロー

MFA 設定フロー

MFA が有効になると、ユーザーはサインインやサインアップ時に MFA の設定を求められます。「ユーザー制御型 MFA」ポリシーが有効な場合のみ、この設定プロセスをスキップできます。

  1. サインインまたはサインアップページへアクセス:ユーザーがサインインまたはサインアップページに移動します。
  2. サインインまたはサインアップを完了:ユーザーがサインインまたはサインアップフロー内でアイデンティティ確認プロセスを完了します。
  3. MFA プライマリ要素の設定:ユーザーはプライマリ MFA 要素(認証アプリ OTP または WebAuthn)の設定を求められます。複数のプライマリ要素が有効な場合、好みのオプションを選択できます。「ユーザー制御型 MFA」ポリシーが有効な場合、「スキップ」ボタンを選択してこのステップを省略できます。
  4. MFA バックアップ要素の設定バックアップコードが有効な場合、プライマリ認証要素の設定後にバックアップコードの設定を求められます。自動生成されたバックアップコードがユーザーに表示され、ダウンロードして安全に保管できます。ユーザーは MFA 設定プロセスを完了するためにバックアップコードを手動で確認する必要があります。
MFA 設定フロー

MFA 認証フロー

MFA を設定したユーザーは、サインイン時に設定済みの MFA 要素でアイデンティティ確認を求められます。どの認証要素が表示されるかは、Logto の MFA 設定とユーザーの設定によって異なります。

  • ユーザーが 1 つの要素のみ設定している場合、その要素で直接認証します。
  • 複数の要素を 2FA として設定している場合、いずれか 1 つを選択して認証します。
  • 有効なプライマリ要素がすべて利用できず、バックアップコードが有効な場合、ワンタイムバックアップコードで認証できます。
MFA 認証フロー

MFA 管理

サインイン/サインアップ時の初期設定以外にも、ユーザーはセルフサービスのアカウントセンターで MFA 設定を管理できます。これにより、ユーザーはニーズに応じて MFA 要素の紐付けや解除が柔軟に行えます。

アカウントセンターの構築

Logto の Account API を利用して、包括的なアカウントセンターを構築できます。これによりユーザーは以下の操作が可能です:

  • 新しい MFA 要素の紐付け:追加の認証アプリやパスキーの追加、バックアップコードの再生成
  • 既存の MFA 要素の解除:不要になった MFA 方法の削除
  • 現在の MFA 状態の確認:現在設定されている MFA 要素の確認

ログイン後の MFA 設定プロンプト

初回登録時に MFA を必須としないアプリケーションでは、MFA 設定を促すインテリジェントなプロンプトを実装できます:

  • 条件付きプロンプト:ユーザーの行動やアカウント価値に基づいて MFA 設定を推奨
  • セキュリティダッシュボード:MFA 有効化で向上するセキュリティスコアの表示
  • 段階的オンボーディング:セキュリティ強化フローの一部として MFA 設定を案内

これらのパターンの実装方法については Account API をご覧ください。