多要素認証 (MFA) は、コンソールでのログインと機密操作のためのユーザー名とパスワードの認証モデルを補完するものです。 RAM (Resource Access Management) ユーザーのセキュリティを確保するために、MFAデバイスをRAMユーザーにバインドできます。 MFAデバイスは、RAMユーザーのIDを検証するのに役立ちます。
背景情報
RAMユーザーは複数のMFAメソッドをサポートしています。 MFAメソッドのシナリオと違いの詳細については、「多要素認証とは何ですか?」をご参照ください。
MFAを実装するには、RAMユーザーのセキュリティ設定で許可されているMFAメソッドを構成し、トピックでMFAデバイスをバインドする操作を実行する必要があります。 詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。
オリジナルのUniversal 2nd Factor (U2F) セキュリティキーはパスキーにアップグレードされます。 U2Fセキュリティキーがバインドされている場合は、U2Fセキュリティキーをパスキーにアップグレードすることを推奨します。 詳細については、「U2Fセキュリティキーのパスキーへのアップグレード」をご参照ください。
仮想MFAデバイスのバインド
前提条件
仮想MFAをサポートするアプリがダウンロードされ、モバイルデバイスにインストールされます。 次の例では、Google Authenticatorアプリをダウンロードしてインストールする方法について説明します。
モバイルデバイスがiOSを実行している場合は、app StoreからGoogle Authenticatorアプリをダウンロードしてインストールします。
モバイルデバイスがAndroidを実行している場合は、Google PlayからGoogle Authenticatorアプリをダウンロードしてインストールします。
説明モバイルデバイスがAndroidを実行している場合は、QRコードを識別するために、Google Authenticatorのアプリストアからクイックレスポンス (QR) コードスキャナーもダウンロードしてインストールする必要があります。
手順
RAMユーザーログインページで仮想MFAデバイスをバインドする
RAMユーザーを使用してログオンする場合、次の操作を実行して仮想MFAデバイスをバインドできます。
ページを開き、RAMユーザーのユーザー名とパスワードを入力します。
[仮想MFAデバイス] を選択します。
モバイルデバイスで、仮想MFAデバイスを有効にします。
説明次の例は、iOSを実行するモバイルデバイスのGoogle Authenticatorアプリで仮想MFAデバイスをバインドする方法を示しています。
Google Authenticatorアプリを開きます。
[開始] をタップし、次のいずれかの方法を選択して仮想MFAデバイスを有効にします。
Google Authenticatorアプリで [QRコードのスキャン] をタップし、Alibaba Cloud管理コンソールの仮想MFAバインディングページに表示されるQRコードをスキャンします。 この方法をお勧めします。
[セットアップキーの入力] をタップし、Alibaba Cloud管理コンソールの仮想MFAバインディングページからアカウントとキーを入力します。 次に、[追加] をクリックします 。
Alibaba Cloud管理コンソールで、Google Authenticatorアプリに表示されるワンタイムパスワードを入力します。 確認ボタンをクリックします。
RAMコンソールで仮想MFAデバイスをバインドする
Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用して、RAMコンソールで仮想MFAデバイスをRAMユーザーにバインドできます。
Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーでRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーログイン名 /表示名列で、管理するRAMユーザーのユーザー名をクリックします。
[認証] タブの [セキュリティ情報管理] セクションで、[VMFAリンクのバインド] の横にあるコピーアイコンをクリックし、ブラウザでリンクを開きます。
モバイルデバイスで、仮想MFAデバイスを有効にします。
説明次の例は、iOSを実行するモバイルデバイスのGoogle Authenticatorアプリで仮想MFAデバイスをバインドする方法を示しています。
Google Authenticatorアプリを開きます。
[開始] をタップし、次のいずれかの方法を選択して仮想MFAデバイスを有効にします。
Google Authenticatorアプリで [QRコードのスキャン] をタップし、Alibaba Cloud管理コンソールの仮想MFAバインディングページに表示されるQRコードをスキャンします。 この方法をお勧めします。
[セットアップキーの入力] をタップし、Alibaba Cloud管理コンソールの仮想MFAバインディングページからアカウントとキーを入力します。 次に、[追加] をクリックします 。
Alibaba Cloud管理コンソールで、Google Authenticatorアプリに表示されるワンタイムパスワードを入力します。 確認ボタンをクリックします。
[セキュリティ] ページで仮想MFAデバイスをバインドする
RAMユーザーがMFAデバイスの管理を許可されている場合、RAMユーザーは次の操作を実行して仮想MFAデバイスをバインドできます。 RAMユーザーがMFAデバイスを管理できるようにする方法の詳細については、「グローバルセキュリティ設定」をご参照ください。
ページで、RAMユーザーのユーザー名とパスワードを入力し、ログインに必要な操作を実行します。
右上隅にあるプロフィール写真の上にポインターを移動し、[セキュリティ情報] をクリックします。
[セキュリティ] ページの [MFA情報] セクションで、[MFAデバイス] の横にある [VMFAのバインド] をクリックします。
モバイルデバイスで、仮想MFAデバイスを有効にします。
説明次の例は、iOSを実行するモバイルデバイスのGoogle Authenticatorアプリで仮想MFAデバイスをバインドする方法を示しています。
Google Authenticatorアプリを開きます。
[開始] をタップし、次のいずれかの方法を選択して仮想MFAデバイスを有効にします。
Google Authenticatorアプリで [QRコードのスキャン] をタップし、Alibaba Cloud管理コンソールの仮想MFAバインディングページに表示されるQRコードをスキャンします。 この方法をお勧めします。
[セットアップキーの入力] をタップし、Alibaba Cloud管理コンソールの仮想MFAバインディングページからアカウントとキーを入力します。 次に、[追加] をクリックします 。
Alibaba Cloud管理コンソールで、Google Authenticatorアプリに表示されるワンタイムパスワードを入力します。 確認ボタンをクリックします。
RAMユーザーの [7日間のMFA検証を覚えておくことを許可] パラメーターで [有効にする] を選択できます。 次に、RAMユーザーがログイン中にMFAを実行すると、RAMユーザーは関連オプションを選択して、現在ログインしているデバイスがRAMユーザーのMFAステータスを7日間記憶できるようにします。 ログイン後7日以内に、RAMユーザーにMFAは必要ありません。 ただし、RAMユーザーが現在のデバイスからログアウトし、別のRAMユーザーがログオンしようとすると、MFAが必要になります。 詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。
パスキーのバインド
RAMユーザーは、パスキーをコンピューターまたはモバイルデバイスにバインドして保存できます。 RAMユーザーは、セキュリティキーをバインドして使用することもできます。 バインドが完了すると、RAMユーザーはパスキーを使用してAlibaba Cloud管理コンソールにログインするか、MFAを実装できます。 パスキーベースの認証システムは、まず、デバイスとパスキーとの間のバインディングを認証して、デバイスの有効性を検証する。 次に、システムは、デバイスに組み込まれた認証方法を使用して、デバイス所有者を認証する。 組み込みの認証方法は、指紋認識、顔認識、およびPINコードです。 パスキーをバインドする前に、パスキーの制限と、パスキーでサポートされているデバイスタイプを理解していることを確認してください。 詳細については、「パスキーとは何ですか?」をご参照ください。
RAMユーザーログインページでパスキーをバインドする
RAMユーザーを使用してログオンする場合、次の操作を実行してパスキーをバインドできます。
ページを開き、RAMユーザーのユーザー名とパスワードを入力します。
[Passkey] を選択します。
パスキーのバインドページで、パスキーをバインドします。
セキュリティページでパスキーをバインドする
ページで、RAMユーザーのユーザー名とパスワードを入力し、ログインに必要な操作を実行します。
右上隅にあるプロフィール写真の上にポインターを移動し、[セキュリティ情報] をクリックします。
[セキュリティ] ページの [Passkey] セクションで、[Passkeyの作成] をクリックします。
パスキーのバインドページで、パスキーをバインドします。
U2Fセキュリティキーをパスキーにアップグレード
U2FセキュリティキーがRAMユーザーにバインドされている場合、RAMユーザーは期待どおりにU2Fセキュリティキーを使用できます。 RAMユーザーがU2Fセキュリティキーをパスキーにアップグレードすることを推奨します。
ページで、RAMユーザーのユーザー名とパスワードを入力し、ログインに必要な操作を実行します。
右上隅にあるプロフィール写真の上にポインターを移動し、[セキュリティ情報] をクリックします。
[セキュリティ] ページの [MFA情報] セクションで、[MFAデバイス] の横にある [Passkeyに更新] をクリックします。
[U2FをPasskeyに更新] メッセージで、[OK] をクリックします。
[Passkeyのバインド] ページで、セキュリティキーをバインドします。
詳細については、「セキュリティキーのバインド」をご参照ください。
次のステップ
MFAを有効にしてMFAデバイスをRAMユーザーにバインドした後、RAMユーザーがAlibaba Cloud管理コンソールにログインするとき、またはコンソールで機密操作を実行するときに、RAMユーザーは次の手順を実行する必要があります。
RAMユーザーのユーザー名とパスワードを入力します。
仮想MFAデバイスによって生成される確認コードを入力します。 または、パスキーを使用して認証を渡します。
RAMユーザーにバインドされているMFAデバイスを変更する場合は、別のMFAデバイスをRAMユーザーにバインドする前に、既存のMFAデバイスのバインドを解除する必要があります。 詳細については、「RAMユーザーからMFAデバイスのバインド解除」をご参照ください。
MFAアプリの場合 (Google Authenticator) は、RAMユーザーがMFAデバイスのバインドを解除する前にアンインストールされるか、U2Fセキュリティキーが失われると、RAMユーザーはAlibaba Cloud管理コンソールにログインできなくなります。 この場合、RAMユーザーは、RAMユーザーが属するAlibaba Cloudアカウント、またはRAMコンソールにログインしてMFAデバイスのバインドを解除するための管理者権限を持つRAMユーザーに連絡する必要があります。 詳細については、「RAMユーザーからMFAデバイスのバインド解除」をご参照ください。