メインコンテンツまでスキップ

MFA を設定する

Logto で MFA 設定を構成する

ユーザーの Logto サインインフローで MFA を有効にするには、次の手順に従います:

  1. 移動先:Console > Multi-factor auth
  2. ユーザーに対してサポートされている検証要素を有効にします。
    1. 主な要素:
      • Authenticator App OTP:最も一般的で広く受け入れられている方法です。Google Authenticator や Authy などの認証アプリによって生成される時間ベースのワンタイムパスワード (TOTP) を使用します。
      • Passkeys (WebAuthn):デバイスの生体認証やセキュリティキーをサポートする Web 製品に適した高セキュリティオプションで、強力な保護を保証します。
    2. バックアップ要素:
      • バックアップコード:これは、上記の主な要素のいずれも検証できない場合のバックアップオプションとして機能します。このオプションを有効にすることで、ユーザーのアクセスの成功を妨げることを減少させます。
  3. Require MFA を有効にするかどうかを選択します:
    • 有効にする:ユーザーはサインインプロセス中に MFA を設定するよう求められ、スキップすることはできません。ユーザーが MFA を設定できない場合や MFA 設定を削除した場合、再度 MFA を設定するまでアカウントにアクセスできなくなります。
    • 無効にする:ユーザーはサインアップフロー中に MFA 設定プロセスをスキップできます。後でセルフサービスのアカウント設定ページを通じて MFA を設定することができます。ユーザーアカウント設定ページの実装について 詳しくはこちら をご覧ください。そして、MFA 設定プロンプトのポリシーを選択し続けます:
      • ユーザーに MFA の設定を求めない:ユーザーはサインイン中に MFA を設定するよう求められません。
      • 登録時にユーザーに MFA の設定を求める:新しいユーザーは登録時に MFA を設定するよう求められ、既存のユーザーは次回のサインイン時にプロンプトが表示されます。ユーザーはこのステップをスキップでき、再度表示されることはありません。
      • 登録後のサインイン時にユーザーに MFA の設定を求める:新しいユーザーは登録後の 2 回目のサインイン時に MFA を設定するよう求められ、既存のユーザーは次回のサインイン時にプロンプトが表示されます。ユーザーはこのステップをスキップでき、再度表示されることはありません。

MFA 設定

注記:

組織 (Organizations) をサポートするマルチテナントアーキテクチャを持つ製品の場合、ほとんどの場合、すべてのユーザーに MFA を要求する必要はありません。代わりに、MFA は組織ごとに有効にでき、各クライアントのニーズに基づいて要件を調整できます。始めるには、組織メンバーに MFA を要求する を参照してください。

MFA ユーザーフロー

MFA 設定フロー

MFA が有効になると、ユーザーはサインインおよびサインアッププロセス中に MFA を設定するよう求められます。「ユーザー制御の MFA」ポリシーが有効になっている場合に限り、ユーザーはこの設定プロセスをスキップできます。

  1. サインインまたはサインアップページにアクセス:ユーザーはサインインまたはサインアップページに移動します。
  2. サインインまたはサインアップを完了:ユーザーはサインインまたはサインアップフロー内でアイデンティティ検証プロセスを完了します。
  3. MFA 主な要素を設定:ユーザーは主な MFA 要素(Authenticator app OTP または WebAuthn のいずれか)を設定するよう求められます。複数の主な要素が有効になっている場合、ユーザーは好みのオプションを選択できます。「ユーザー制御の MFA」ポリシーが有効になっている場合、ユーザーは「スキップ」ボタンを選択してこのステップをスキップすることもできます。
  4. MFA バックアップ要素を設定バックアップコードが有効になっている場合、ユーザーは主な認証要素を正常に設定した後にバックアップコードを設定するよう求められます。自動生成されたバックアップコードがユーザーに表示され、ダウンロードして安全に保管できます。ユーザーはバックアップコードを手動で確認して MFA 設定プロセスを完了する必要があります。

MFA 設定フロー

MFA 検証フロー

MFA を設定したユーザーは、サインイン時に設定された MFA 要素を使用してアイデンティティを確認するよう求められます。検証要素は、Logto の MFA 設定とユーザー設定に依存します。

  • ユーザーが 1 つの要素のみを設定している場合、それを直接検証します。
  • ユーザーが複数の要素を 2FA として設定している場合、1 つを選択して検証する必要があります。
  • 有効な主な要素がすべてユーザーに利用できない場合、バックアップコードが有効になっている場合は、ワンタイムバックアップコードを使用してアイデンティティを確認できます。

MFA 検証フロー