2段階認証

[更新: 2023年11月16日]

コントロールパネルへのログイン時、通常のパスワード認証に加え、認証経路の複数化でより安全性を強化した2段階認証を設定することが可能です。このページでは、2段階認証の利用に必要なものや設定方法について説明します。

1. 概要

2段階認証を設定すると、これまでの会員ID(クラウドユーザ名)とパスワードの組み合わせによるコントロールパネルへのログインに加え、ワンタイムパスワードの入力が必須となります。

2-factor-auth-01.png

そのため、万が一パスワードが第三者に漏えいしたり、辞書や総当たりによるパスワード攻撃を受けた際に不正ログインされるリスクが軽減されます。

会員IDログイン時のセキュリティについて

会員IDを使用したログインユーザには、 さくらのクラウドユーザ の管理者としての役割を持たせているため、権限の範囲がより大きくなります。そのため、会員メニューの2段階認証を設定することをお勧めします。

重要

2023年11月16日をもちまして、さくらのクラウド内でのみ使用可能な会員IDログイン時の2段階認証の提供を終了いたしました。
弊社サービス共通の 会員メニュー の2段階認証をご利用ください。
設定方法については「 会員メニューに2段階認証を設定したい 」をご参照ください。

2. TOTP認証アプリケーションの準備

さくらのクラウドコントロールパネルの2段階認証機能は、ワンタイムパスワード認証の実装として一般的なTOTP方式を採用し、生成した認証キーをQRコードで表示します。2段階認証を利用するにあたっては、QRコード読み取り機能を備えたTOTP認証アプリケーションがインストールされたデバイスが必要となります。

弊社においては、iOSやAndroidで動作する一般的なスマートフォン向けTOTP認証アプリケーションとして以下のものを動作確認済みです。

3. 2段階認証の有効化

さくらのクラウドやオブジェクトストレージのコントロールパネルが表示されている場合は、右上のユーザ・アカウント名をクリックし、表示されたメニューから「ホームへ戻る」を選択しホーム画面に戻ります。

2-factor-auth-02.png

ログイン直後にデフォルトで表示されるホーム画面の左部にある「2段階認証」のリンクをクリックします。

2-factor-auth-03.png

※2段階認証の設定は、画面右上に表示されている現在ログイン中のユーザに対して行われます。他のユーザに設定する場合は、ユーザ名の右側に表示される「ログアウト」のリンクをクリックし、2段階認証を設定したいユーザで再度ログインしてください。

2段階認証の管理画面が表示されます。ここでは2段階認証の有効状態や、信頼済みデバイスのリスト画面が表示されます。初期状態では2段階認証は無効となっているので、「有効化」のリンクをクリックします。

2-factor-auth-04.png

※すでに2段階認証が設定されている場合にこのボタンをクリックすると、現在の認証キー、登録済みの信頼済みデバイス、発行済みの回復コードがすべて破棄された状態で再度有効化されます。

確認画面が表示されるので、お手元にTOTP認証アプリケーションをインストールしたデバイスがあることを確認し「有効化」ボタンをクリックします。

2-factor-auth-05.png

認証キーのQRコードが表示されるので、これをTOTP認証アプリケーションで読み取ります。

2-factor-auth-06.png

※「中断」ボタンをクリックすると、今回生成した認証キーは破棄され、2段階認証の設定作業を中断します

読み取り完了後、「再ログインして確認」ボタンをクリックすると2段階認証でのログイン画面が表示されます。「ワンタイムパスワード」入力欄にTOTP認証アプリケーションで生成された数字を入力し、「有効化」ボタンをクリックします。

2-factor-auth-07.png

※入力時はワンタイムパスワードの有効期限(1個ごとに30秒)にご注意ください

ここまでの操作により、2段階認証が有効化されます。次回、このユーザがログインするとワンタイムパスワードが求められるようになります。

2-factor-auth-08.png

4. 信頼済みデバイスの登録

2段階認証でのログイン時、画面に表示される「認証後にこのデバイスを信頼済みデバイスとして記憶する」のチェックボックスを有効にすると「デバイス名」の入力欄が新たに表示されます。

2-factor-auth-09.png

ここで「デバイス名」に、現在アクセスしている端末(パソコン、タブレット等)を識別できる分かりやすい名前を入力して「有効化」ボタンをクリックすると、この端末が信頼済みデバイスとして登録され、次回ログイン時から2段階認証による認証が省略されます(ログイン時は信頼済みデバイスの登録操作を行ったブラウザを使用してください)。

信頼済みデバイスとして登録されたデバイスは、2段階認証管理画面の「信頼済みデバイス」欄にデバイスごとに追加されます。

信頼済みデバイスから削除したいデバイスがある場合は、リスト右側の「×」ボタンをクリックすると削除され、次回のログイン時からワンタイムパスワードの入力が求められるようになります。

2-factor-auth-10.png

※信頼済みデバイスでログインした場合でも、ユーザに対応するパスワードの入力を間違えた際は信頼済みデバイスの登録が自動的に削除され、ワンタイムパスワードの入力が求められるようになります。

5. 回復コードの生成

回復コードを入力することにより、2段階認証の設定が無効化されます。TOTP認証アプリケーションを紛失するなど、ワンタイムパスワードが生成できなくなる場合に備えて回復コードを生成しておくことをお勧めします。

回復コードの生成は、上部に表示される「回復コードの生成」ボタンをクリックします。1度に有効な回復コードは1個となりますので、すでに回復コードが生成されている場合はその回復コードが無効化されます(回復コードが生成済みかどうかはステータスの「回復コード」欄で確認することが可能です)。

2-factor-auth-11.png

確認画面が表示されるので、「生成」ボタンをクリックします。

2-factor-auth-12.png

40ケタの数字で構成された回復コードが表示されるので、印刷するなどして安全な場所に保管しておきます。このダイアログボックスを閉じると再表示は行えませんのでご注意ください。

2-factor-auth-13.png

回復コードを使用する場合は、ログイン時のワンタイムパスワード入力画面で「回復コードを入力」のリンクをクリックします。

2-factor-auth-14.png

回復コード入力画面で回復コードを入力し、「回復」ボタンをクリックします。

2-factor-auth-15.png

これにより2段階認証が無効化され、コントロールパネルにログインができます。

6. 2段階認証の無効化

2段階認証を無効化する場合は、「無効化」のリンクをクリックします。

2-factor-auth-16.png

これで、ログイン中のユーザに対する2段階認証の設定は全て無効となります。

7. 会員IDログイン時のユーザ管理機能

会員IDと会員IDパスワードを使用してコントロールパネルにログインすると、作成済みのユーザに対する2段階認証管理機能が使用できます。

ホーム画面上部の「ユーザ」のリンクをクリックして表示されるユーザ一覧画面では、各ユーザの2段階認証設定状況が確認できるカラムが追加されています。

2-factor-auth-17.png

各ユーザのリストをダブルクリックして表示される個別のユーザ設定画面では、2段階認証の無効化や、全ての信頼済みデバイスの削除を行うことが可能です。

2-factor-auth-18.png