IDCSによる2段階認証をしてみた

こんにちは。Oracle Cloud Infrastructure(OCI)特集 編集部です。

以前のブログで
・IDCSとOCI IAMの比較
・IDCSによる認証を接続元IPで制限してみる

といった IDCSに関する記事を掲載していましたが、
今回は IDCSによる2段階認証 を使用してみます。

機能について

IDCSの2段階認証では
IDCSにて ユーザ名・パスワードを使用して認証した後に
2つ目の認証が必要となります。

その際には Oracle Mobile Authenticator(OMA)アプリを使用するため、
自身のスマートフォンにインストールしておきましょう。

※iPhoneでは下記のアプリです。

設定方法

本設定もOCIのコンソール画面ではなく、IDCSの管理画面で行うことになります。

まず OCIのコンソール画面にて左上の「三」のメニューから
「アイデンティティ」⇒「フェデレーション」を選択します。

下記のリンクをクリックし、IDCSの管理画面に移動します。

「三」⇒「セキュリティ」⇒「MFA」を選択し、
右側に表示される画面にて
　モバイル・アプリケーション・パスコード
　モバイル・アプリケーション通知
にチェックを入れ、「保存」をクリックします。

続いて「サインオン・ポリシー」を選択し、
右側に表示される「Default Sign-On Policy」をクリックします。

ここで2段階認証を有効にする設定を行うのですが、
IDCSを使用する全ユーザに突然 2段階認証を行わせるのも何ですので、
今回は特定のグループのユーザのみ2段階認証を行わせるようにします。

そこで ルールの追加を行うにあたり、
「サインオン・ルール」をクリックし、「追加」をクリックします。

「ルールの追加」画面が表示されますので 下記のように設定します。
　ルール名：※任意の名前（ここでは「test」）
　これらのグループのメンバーである：※ルールの対象となるグループ（ここでは予め作成していた「test」グループ）
　追加ファクタの要求：チェックを入れます

最後に「保存」をクリックします。

下記のように作成したルールが追加されていることを確認します。

ユーザ側の設定

上記の設定後、ユーザがログインすると下記のような画面が表示されますので
「有効化」をクリックします。

QRコードをスマートフォンでスキャンします。


するとインストールしたOMAのアプリにて ユーザが登録されます。

その後、次の画面が表示されますので「完了」をクリックします。

2段階認証の利用

再度 IDCSにログインすると次のような画面が表示されます。

すると、スマートフォンには下記のような画面が表示されますので
「許可」を選択します。

そうするとWebブラウザの画面が切り替わり、OCIにログインできました。

パスコードによる認証

前の手順では スマートフォンからは単純に「許可」を選択するのみでしたが、
パスコードを入力する方法も選べます。

IDCSにてログインした際、
「バックアップ認証方法を使用」をクリックし、
「～上のオーセンティケータ・アプリケーションによって生成されるパスコードを使用」
をクリックします。

その後、OMAに表示されるパスコードを入力し、「検証」をクリックして
OCIへログインすることができます。
※「これをデフォルトの方法にする」にチェックを入れると次回ログイン時からは
　パスコード入力がデフォルトとなります。



いかがでしたでしょうか。
OCI使用者のセキュリティレベルを高めるにあたり、
こちらの2段階認証も活用できればと思います！