Identity as a Service:二要素認証

モード

シナリオ

説明

インテリジェントモード (推奨)

システムが以下の高リスクログイン動作を検出すると、インテリジェントモードの検証を自動的にトリガーしてアカウントのセキュリティを強化します:

1. 異常な地理的場所からのログイン。システムは、ユーザーが不慣れな国/地域または異常な IP アドレス範囲からログインした場合に検出します (たとえば、ユーザーが通常は北京からログインするのに、突然海外からログインした場合など)。

2. 異常なデバイスからのログイン。未登録のデバイス (新しい電話/ブラウザなど) を使用したり、アカウントに初めてログインしたりする場合。

3. 高リスクな操作動作。機密性の高い権限 (管理者コンソールなど) へのアクセスを試みたり、アカウントのセキュリティ設定を頻繁に変更したりする場合 (パスワードを複数回リセットするなど)。

4. システムリスクポリシーの一致。システムは、現在のネットワーク環境でプロキシ/VPN などの匿名化ツールの使用を検出したり、短期間に複数回のログイン失敗の後にログインに成功したりした場合を検出します。

このモードを有効にすると、IDaaS EIAM はコンテキストに基づいて二要素認証が必要かどうかを判断し、セキュリティを確保しながらユーザーの複雑さを軽減します。

常時オンモード

1. セキュリティ要件が非常に高い機密性の高い業務システム。

2. 規制コンプライアンスにより、各ログインで検証が必要となるシナリオ。

3. 管理者アカウントなどの特権アカウント。

サインインごとに二要素認証が必要です。

方式

説明

OTP 動的パスワード

Alibaba Cloud アプリまたはその他の一般的な OTP アプリ (Google Authenticator など) を使用して 6 桁の動的パスワードを入力し、二要素認証を完了します。

ユーザーは、IDaaS EIAM アプリケーションポータルのアカウント管理セクションで OTP をアattachできます。詳細については、「ユーザーセルフサービス」をご参照ください。

管理者は、ユーザーが OTP 動的パスワードをデタッチするのを支援できます。詳細については、「OTP-アタッチされた動的パスワード」をご参照ください。

SMS 検証コード

IDaaS EIAM アカウントに関連付けられた電話番号に 6 桁の検証コードが送信されます。アカウントに電話番号がない場合、この方式は使用できません。

SMS は無料です。

ショートメッセージの内容は、SMS テンプレートメニューで表示できます。

メール検証コード

IDaaS EIAM アカウントに関連付けられたメールアドレスに 6 桁の検証コードが送信されます。アカウントにメールアドレスがない場合、この方式は使用できません。

メールテンプレート メニューでメールの内容を表示できます。

WebAuthn

WebAuthn 認証システムを 2 番目の認証要素として使用して、ハードウェアレベルの安全で便利な認証を実現します。

詳細については、「詳細設定: WebAuthn セキュアログイン」をご参照ください。

管理者は、ユーザーが WebAuthn 認証システムを登録および削除するのを支援できます。詳細については、「WebAuthn-登録済み認証システム」をご参照ください。

方法

説明

アカウントに利用可能な二要素認証方式がない

この条件は、アカウントが有効になっている二要素認証方式のいずれもアタッチしていない場合に満たされます。たとえば、SMS 検証コード認証が有効になっているが、アカウントにはメールアドレスしかアタッチされていない場合、この条件が満たされます。

アカウントには成功したログインレコードがありません

この条件は、アカウントが IDaaS EIAM に一度も正常にログインしたことがない場合に満たされます。既存のアカウントが侵害されるリスクを軽減するために、この条件を有効にすること (または、既存のアカウントがアタッチを完了した後に有効にすること) をお勧めします。

アカウントが n 日以内に作成された

これは、新しいアカウントのみが特定の期間内にアタッチできることを意味します。既存のアカウントが侵害されるリスクを軽減するために、この条件を有効にすることをお勧めします。