2 要素認証(2FA または MFA)を設定する
2 要素認証(2FA または MFA とも呼ばれます)は、パスワードに加えて、一時的なアクセスコードの入力をユーザーに要求することで、Diligent One インスタンスにセキュリティレイヤーを追加するものです。万一 Diligent One パスワードが漏えいしても、攻撃者はその人の 2FA Authenticator アプリ(通常はスマートフォンを必要とする)にアクセスできなければログインはできません。
アクセス許可
システム管理者のみが、2FA の実施、アカウントのロック解除、2FA の無効化を行うことができます。
機能の仕組み
システム管理者は、Diligent One インスタンスで 2FA を実施できます。実施すると、インスタンスのすべてのユーザーは、次のすべてを実行するまで、Diligent One のどのインスタンスにもアクセスできなくなります。
- タイムベースのワンタイムパスコード(TOTP)をサポートする認証アプリをダウンロードする
- Diligent One アカウントを Authenticator アプリにリンクして 2FA を有効化する
- Diligent One でコードを入力する
弊社がサポートする 2FA Authenticator
Diligent One の 2FA は、タイムベースのオンタイムパスコード(TOTP)を提供できる大半の Authenticator アプリをサポートしています。以下のアプリでテストしていますが、他のアプリも動作するはずです。
- Google Authenticator
- Microsoft Authenticator
- Cisco Duo Mobile
- Okta Verify
- Auth0 Guardian
- LastPass Authenticator
不正なログインを試みたときに起きる事柄
ブルートフォースアタックを防ぐために、2FA が有効化されているインスタンスのユーザーは、パスワードの失敗は 5 回まで、認証コードの失敗は 3 回までに制限されています。その制限を超えた時点で、Diligent One はアカウントをロックします。システム管理者がロックを解除する必要があります。
SSO と 2FA は併用できません
シングルサインオンで 2 要素認証は使用できません。SSO と 2FA の両方を使用する必要がある場合、SSO 識別プロバイダー独自の 2FA 機能を使用する必要があります。SSO が有効な場合、Diligent One は 2FA を有効にすることを許可しません。同様に、インスタンスのいずれかのメンバーが 2FA を使用している場合、Diligent One は SSO を有効にすることを許可しません。
あなたのユーザーが複数のインスタンスにアクセスする場合
Diligent One インスタンスで 2FA を有効にすると、そのインスタンスのすべてのユーザーは、他社に属するインスタンスを含め、Diligent One のどのインスタンスであってもアクセスするために 2FA を使用することが必要になります。
2FA の実施
以下の手順に従って、Diligent One インスタンスのすべてのユーザーに対して 2FA を有効にします。
2FA のためのユーザー側の準備
- たいていのユーザーはすでに 2FA を利用したことがあると思われますが、皆が利用経験があると想定しないほうがよいでしょう。これは世界的な変化であるので、変化が訪れていることと予期すべきことをユーザーにアドバイスするのがよいでしょう。
- 極端なケースでどうすべきかを考慮してください。たとえば、モバイルデバイスを利用していない人は、既存のマシン上で Authenticator アプリを使用して認証する必要がありますか?
- 大規模な組織で働いているのであれば、Diligent One がアカウントをロックしなければならない場合にユーザーをサポートする、追加のオーバーヘッドに備えます。
2FA に切り替える
- Launchpad を開きます。
- 会社が Diligent One で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。
- [プラットフォームの設定]>[組織]を選択します。オプションとして、組織が表示されない場合、サインインに使用したアカウントはシステム管理者権限を持っていません。
- [組織の更新]をクリックします。
- [セキュリティ設定]タブをクリックします。
- [プラットフォーム全体の 2 要素認証]で、[有効にする]にチェックを付けます。
- [変更を保存]をクリックします。
これで、Diligent One のこのインスタンスにアクセスできるすべてのユーザーに 2FA が適用されるようになりました。次回のログイン時には、他のユーザーと同様に自分のアカウントでも 2FA を設定する必要があります。次回のログイン時までは、ログインした状態を維持できます。
インスタンスでの 2FA の無効化
Diligent One のインスタンスで 2FA の実施をオフにできます。
メモ
この場合、ユーザーの 2FA が自動的にオフになることはありません。各人が 2FA の使用を継続するか、登録を解除するかを選択できます。
- Launchpad を開きます。
- 会社が Diligent One で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。
- [プラットフォームの設定]>[組織]を選択します。オプションとして、組織が表示されない場合、サインインに使用したアカウントはシステム管理者権限を持っていません。
- [組織の更新]をクリックします。
- [セキュリティ設定]タブをクリックします。
- [プラットフォーム全体の 2 要素認証]で、[有効にする]をクリアします。
- [変更を保存]をクリックします。
ロックされたアカウントのロック解除
ユーザーが何度もログインを試みて成功しなかった場合、Diligent One はそのユーザーのアカウントをロックします。アクセスを回復するには、システム管理者がロックを解除する必要があります。
- Launchpad を開きます。
- 会社が Diligent One で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。
- [プラットフォームの設定]>[ユーザー (#)]を選択します。[ユーザー]のオプションが表示されない場合は、お客様がサインインに使用したアカウントにはシステム管理者権限がありません。
- ロック解除が必要なユーザーを、次のようにして検索します。
- 検索ボックスに名前または電子メール アドレスを入力します。
- フィルターを使用してユーザーの一覧をサブセットに制限できます。
- 名前、状態、前のサインインの日付の列をクリックして、ユーザーを並べ替えます。
- そのユーザーの名前をクリックします。[ユーザー詳細]パネルが開きます。
- [ロック解除]をクリックします。
これでロックされたユーザーは、Diligent One に再度ログインできるようになります。
2FA からの他者の登録解除
誰かがモバイルデバイスを紛失または変更した場合、システム管理者はその人を 2FA から登録解除することができます。2FA が実施されている場合、そのユーザーが次回ログインしようとすると、Diligent One は新しいデバイスを 2FA に登録することを求めます。2FA 実施されていない場合、そのユーザーは 2FA を使用する必要はなくなります。
- Launchpad を開きます。
- 会社が Diligent One で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。
- [プラットフォームの設定]>[ユーザー (#)]を選択します。[ユーザー]のオプションが表示されない場合は、お客様がサインインに使用したアカウントにはシステム管理者権限がありません。
- ロック解除が必要なユーザーを、次のようにして検索します。
- 検索ボックスに名前または電子メール アドレスを入力します。
- フィルターを使用してユーザーの一覧をサブセットに制限できます。
- 名前、状態、前のサインインの日付の列をクリックして、ユーザーを並べ替えます。
- そのユーザーの名前をクリックします。[ユーザー詳細]パネルが開きます。
- [2FA の登録を解除する]をクリックします。
これでそのユーザーは 2FA の登録が解除されました。
メモ
Authenticator アプリは、2FA が有効であるか無効であるかは認識しません。Authenticator アプリに Diligent One を表示したくない場合は、各ユーザーが自分の Authenticator アプリから削除する必要があります。
2FA からの自分の登録解除
あなた自身がモバイルデバイスを紛失または変更した場合、2FA から自分のモバイルデバイスを登録解除することができます。2FA が実施されている場合、次回ログインしようとすると、Diligent One は新しいデバイスを 2FA に登録することを求めます。
- Launchpad を開きます。
- グローバルナビゲーションバーから[ > プロファイル]を選択します。
- [デバイスの登録を解除する]をクリックします。登録を解除すると、自動的にログアウトすることを知らせるポップアップが表示されます。
- [登録解除とログアウト]を選択すると、すぐにログアウトします。
- アカウントにアクセスするには、再度 Diligent One にログインし、登録プロセスを繰り返します。