IDCSによる2段階認証をしてみた

こんにちは。Oracle Cloud Infrastructure(OCI)特集 編集部です。

以前のブログで
IDCSとOCI IAMの比較
IDCSによる認証を接続元IPで制限してみる

といった IDCSに関する記事を掲載していましたが、
今回は IDCSによる2段階認証 を使用してみます。

機能について

IDCSの2段階認証では
IDCSにて ユーザ名・パスワードを使用して認証した後に
2つ目の認証が必要となります。

その際には Oracle Mobile Authenticator(OMA)アプリを使用するため、
自身のスマートフォンにインストールしておきましょう。

※iPhoneでは下記のアプリです。

設定方法

本設定もOCIのコンソール画面ではなく、IDCSの管理画面で行うことになります。

まず OCIのコンソール画面にて左上の「三」のメニューから
「アイデンティティ」⇒「フェデレーション」を選択します。


下記のリンクをクリックし、IDCSの管理画面に移動します。

「三」⇒「セキュリティ」⇒「MFA」を選択し、
右側に表示される画面にて
 モバイル・アプリケーション・パスコード
 モバイル・アプリケーション通知
にチェックを入れ、「保存」をクリックします。


続いて「サインオン・ポリシー」を選択し、
右側に表示される「Default Sign-On Policy」をクリックします。


ここで2段階認証を有効にする設定を行うのですが、
IDCSを使用する全ユーザに突然 2段階認証を行わせるのも何ですので、
今回は特定のグループのユーザのみ2段階認証を行わせるようにします。

そこで ルールの追加を行うにあたり、
「サインオン・ルール」をクリックし、「追加」をクリックします。


「ルールの追加」画面が表示されますので 下記のように設定します。
 ルール名:※任意の名前(ここでは「test」)
 これらのグループのメンバーである:※ルールの対象となるグループ(ここでは予め作成していた「test」グループ)
 追加ファクタの要求:チェックを入れます

最後に「保存」をクリックします。


下記のように作成したルールが追加されていることを確認します。



ユーザ側の設定

上記の設定後、ユーザがログインすると下記のような画面が表示されますので
「有効化」をクリックします。


QRコードをスマートフォンでスキャンします。


するとインストールしたOMAのアプリにて ユーザが登録されます。


その後、次の画面が表示されますので「完了」をクリックします。



2段階認証の利用

再度 IDCSにログインすると次のような画面が表示されます。

すると、スマートフォンには下記のような画面が表示されますので
「許可」を選択します。


そうするとWebブラウザの画面が切り替わり、OCIにログインできました。



パスコードによる認証

前の手順では スマートフォンからは単純に「許可」を選択するのみでしたが、
パスコードを入力する方法も選べます。

IDCSにてログインした際、
「バックアップ認証方法を使用」をクリックし、
「~上のオーセンティケータ・アプリケーションによって生成されるパスコードを使用」
をクリックします。

その後、OMAに表示されるパスコードを入力し、「検証」をクリックして
OCIへログインすることができます。
※「これをデフォルトの方法にする」にチェックを入れると次回ログイン時からは
 パスコード入力がデフォルトとなります。



いかがでしたでしょうか。
OCI使用者のセキュリティレベルを高めるにあたり、
こちらの2段階認証も活用できればと思います!