IBM Cloud 多要素認証
多要素認証(MFA)は、すべてのユーザーにIDとパスワード以外の別の認証要素を使用した認証を要求することで、アカウントにセキュリティのレイヤーを追加します。 MFAは、一般に二要素認証( 2FA )としても知られている。
IBM Cloud は、各ユーザーの ID に関連付けられ、それらのユーザーがメンバーであるすべてのアカウントで認証されるため、1 回のみ認証されます。
IBM Cloud MFA は、すべてのタイプのアカウントのすべてのリソースに適用されます。 MFA が有効になっている場合、ユーザーには、オーセンティケーター・アプリまたはハードウェア・トークンによって生成される固有 ID (ユーザー名や E メールなど) とワンタイム・パスワード (OTP) を指定するように求めるプロンプトが出されます。 正しい OTP が入力されると、要求されたリソースに対するアクセス権限が付与されます。 このタイプの MFA は、クラシック・インフラストラクチャー・リソースに限定されず、アカウント内のすべてのリソースに適用されるため、アカウント・ベースの MFA よりもはるかにセキュアです。 また、パスワードが弱いため、または複数のアカウントで同じパスワードを使用することにより、違反のリスクが軽減されます。
MFA オプション
IAM Identity Service またはすべての IAM アカウント管理サービスの管理者は、アカウントまたは特定のユーザーに対して MFA を有効にすることができます。これは、すべてのアカウント・リソースに適用されます。
- IBM Cloud® コンソールで 「管理」 > 「アクセス (IAM)」 > 「設定」 > 「認証」 に移動して、アカウントの MFA 設定を更新できます。 詳しくは、 アカウントに対する MFA の有効化 を参照してください。
- アカウント内の特定のユーザーの MFA 設定を更新するには、 「管理」 > 「アクセス (IAM)」 > 「ユーザー」 に移動し、MFA を更新するユーザーをクリックします。 新規ユーザーの場合は、IDベースのMFAオプションを使用して、ログインの安全性を確保してください。 詳しくは、 個々のユーザーに対する MFA の有効化 を参照してください。
IBMid を持つユーザー用の MFA
ユーザーは、 IBMid、パスワード、および時間ベースのワンタイムパスコード(TOTP)を使用して認証する。 このオプションは、すべてのユーザーに対して有効にすることも、非連帯ユーザーに対してのみ有効にすることもできます。
全ユーザーのMFA( IBMid および IdPs をサポート)
ユーザーは、以下の MFA 要素のいずれかを使用して認証する。 このオプションは、 App IDなど、 IBMid または外部 ID プロバイダー (IdP) を使用するユーザーを含む、すべてのユーザーに適用されます。
- 電子メールベースのMFA:ユーザーは、電子メールで送信されるセキュリティ・パスコードを使用して認証する。
- TOTP MFA: ユーザーは TOTP を使用して認証を行います。
- U2F MFA: ユーザーは、ハードウェア・ベースの物理セキュリティー・キーを使用して認証を行います。 FIDO U2F 標準に基づき、この要素は、最高のレベルのセキュリティーを提供します。
なし
すべてのユーザーは、最低レベルのセキュリティーを提供する標準 ID とパスワードのみを使用してログインします。 このオプションのセキュリティー・レベルを上げるには、ユーザー名とパスワードのみを使用して CLI へのログインを無効にします。 この方法では、CLI にログインするために API キーが必要です。そうしないと、ユーザーは --sso でログインできます。
2023 年 5 月 3 日以降、MFA が 「なし」 に設定されているすべてのユーザーに対して、ユーザー名とパスワードのみを使用した CLI ログインがデフォルトで無効になります。 これは、新規および既存のアカウントのユーザーに適用されます。 管理者は、 IBM Cloud コンソールでその日付より前にオプトアウトできます。 詳細については 、「パスワードのみでCLIログインを無効にする 」を参照してください。
次の表は、 IAM > Settings > Authenticationで認証する際にユーザーが従う必要のあるルールの一覧です:
| API定数 | 使用されるラベル(アカウントのデフォルト) | 使用ラベル(このユーザー) |
|---|---|---|
|
|
なし | アカウントのデフォルト |
| なし | なし | なし |
| NONE_NORPC | なし - CLIなし | なし - CLIなし |
| TOTP4ALL | IBMid を持つユーザーの MFA - どちらか | IBMid を持つユーザーの MFA - どちらか |
| TOTP | IBMid- 非連帯ユーザーのMFA | IBMid- 非連帯ユーザーのMFA |
| LEVEL1 | IBMid の有無にかかわらず、ユーザーに対する MFA - 電子メールベースの MFA | IBMid の有無にかかわらず、ユーザーに対する MFA - 電子メールベースの MFA |
| LEVEL2 | IBMid の有無にかかわらず、ユーザーに対する MFA - TOTP MFA | IBMid の有無にかかわらず、ユーザーに対する MFA - TOTP MFA |
| LEVEL3 | IBMid の有無にかかわらず、ユーザーの MFA - U2F MFA | IBMid の有無にかかわらず、ユーザーの MFA - U2F MFA |
次の表は、ユーザ(IAM > Users > Details)が認証に必要なルールを示したものです:
| API定数 | MFA | ユーザー固有のMFA |
|---|---|---|
|
|
なし | なし |
| なし | MFA なし | なし |
| NONE_NORPC | MFA なし、CLI ログイン無効 | CLI なし |
| TOTP4ALL | すべてのユーザーの MFA | IBMid (すべて)を持つすべてのユーザーに対するMFA |
| TOTP | IBMidを持つユーザーのMFA | IBMid (非連帯ユーザー)を持つユーザーのMFA |
| LEVEL1 | E メール・ベースの MFA | E メール・ベースの MFA |
| LEVEL2 | TOTP MFA | TOTP MFA |
| LEVEL3 | U2F MFA | U2F MFA |
次の表は、ユーザー(IAM > Enterprise >Templates > IAM settings)が認証を必要とするルールの一覧です:
| API定数 | 概要 | 認証 |
|---|---|---|
|
|
なし | なし |
| なし |
|
MFA なし |
| NONE_NORPC | なし - CLIなし | MFA なし、CLI ログイン無効 |
| TOTP4ALL | IBMid、MMFA - どちらか | すべてのユーザーの MFA |
| TOTP | IBMid- 非連帯ユーザーのMFA | IBMidを持つユーザーのMFA |
| LEVEL1 | IBMid の有無にかかわらず、ユーザーに対する MFA - 電子メールベースの MFA | E メール・ベースの MFA |
| LEVEL2 | IBMid の有無にかかわらず、ユーザーに対する MFA - TOTP MFA | TOTP MFA |
| LEVEL3 | IBMid の有無にかかわらず、ユーザーの MFA - U2F MFA | U2F MFA |