IBM Cloud 多要素認証
多要素認証(MFA)は、すべてのユーザーにIDとパスワード以外の別の認証要素を使用して認証することを求めることで、アカウントにセキュリティのレイヤーを追加します。 MFAは、2要素認証( 2FA )とも呼ばれています。
IBM Cloud は、各ユーザーの ID に関連付けられ、それらのユーザーがメンバーであるすべてのアカウントで認証されるため、1 回のみ認証されます。
IBM Cloud MFA は、すべてのタイプのアカウントのすべてのリソースに適用されます。 MFA が有効になっている場合、ユーザーには、オーセンティケーター・アプリまたはハードウェア・トークンによって生成される固有 ID (ユーザー名や E メールなど) とワンタイム・パスワード (OTP) を指定するように求めるプロンプトが出されます。 正しい OTP が入力されると、要求されたリソースに対するアクセス権限が付与されます。 このタイプの MFA は、クラシック・インフラストラクチャー・リソースに限定されず、アカウント内のすべてのリソースに適用されるため、アカウント・ベースの MFA よりもはるかにセキュアです。 また、パスワードが弱いため、または複数のアカウントで同じパスワードを使用することにより、違反のリスクが軽減されます。
MFA オプション
IAM Identity Service またはすべての IAM アカウント管理サービスの管理者は、アカウントまたは特定のユーザーに対して MFA を有効にすることができます。これは、すべてのアカウント・リソースに適用されます。
- IBM Cloud® コンソールで 「管理」 > 「アクセス (IAM)」 > 「設定」 > 「認証」 に移動して、アカウントの MFA 設定を更新できます。 詳しくは、 アカウントに対する MFA の有効化 を参照してください。
- アカウント内の特定のユーザーの MFA 設定を更新するには、 「管理」 > 「アクセス (IAM)」 > 「ユーザー」 に移動し、MFA を更新するユーザーをクリックします。 新規ユーザーの場合は、IDベースの多要素認証オプションを使用して、ログインが安全であることを確認してください。 詳しくは、 個々のユーザーに対する MFA の有効化 を参照してください。
IBMid を持つユーザー用の MFA
ユーザーは、 IBMid、パスワード、および時間ベースのワンタイムパスコード(TOTP)を使用して認証します。 このオプションは、すべてのユーザーまたは非フェデレーションユーザーのみに対して有効にすることができます。
すべてのユーザーにMFA( IBMid およびサポート対象の IdPs )
ユーザーは、以下のMFA要素のいずれかを使用して認証します。 このオプションは、 App IDなど、 IBMid または外部 ID プロバイダー (IdP) を使用するユーザーを含む、すべてのユーザーに適用されます。
- メールベースのMFA:ユーザーは、メールで送信されるセキュリティパスコードを使用して認証を行います。
- TOTP MFA: ユーザーは TOTP を使用して認証を行います。
- U2F MFA: ユーザーは、ハードウェア・ベースの物理セキュリティー・キーを使用して認証を行います。 FIDO U2F 標準に基づき、この要素は、最高のレベルのセキュリティーを提供します。
なし
すべてのユーザーは、最低レベルのセキュリティーを提供する標準 ID とパスワードのみを使用してログインします。 このオプションのセキュリティー・レベルを上げるには、ユーザー名とパスワードのみを使用して CLI へのログインを無効にします。 この方法では、CLI にログインするために API キーが必要です。そうしないと、ユーザーは --sso
でログインできます。
2023 年 5 月 3 日以降、MFA が 「なし」 に設定されているすべてのユーザーに対して、ユーザー名とパスワードのみを使用した CLI ログインがデフォルトで無効になります。 これは、新規および既存のアカウントのユーザーに適用されます。 管理者は、 IBM Cloud コンソールでその日付より前にオプトアウトできます。 詳細については 、「パスワードのみでCLIログインを無効にする 」を参照してください。