メインコンテンツへスキップ
Auth0 では、 (MFA) によってユーザーアカウントへのアクセスを保護するための、さまざまな方法 (認証要素) をサポートしています。 テナントで使用する MFA の認証要素を選択するには、Dashboard > Security > Multi-factor Auth に移動します。MFA を使用するには、テナントで少なくとも 1 つの認証要素を有効にする必要があります。利用可能な認証要素は、契約プランによって異なります。詳しくは、Auth0 Pricing を参照してください。

認証要素

Auth0 では、MFA の実装で次の認証要素をサポートしています。

プッシュ通知

事前登録されたデバイス (通常は携帯電話やタブレット) にプッシュ通知を送信すると、ユーザーはボタンを押すだけでアカウントへのアクセスを即座に許可または拒否できます。プッシュ認証要素は、iOS と Android の両方で利用できる Auth0 Guardian モバイルアプリで提供されています。詳しくは、Auth0 Guardian を参照してください。 顧客に別途アプリケーションをダウンロードさせたくない場合は、既存のモバイルアプリに第 2 認証要素のワークフローを組み込むための Guardian SDK も Auth0 が提供しています。詳しくは、Install Guardian SDK を参照してください。

SMS 通知

ユーザーに SMS でワンタイムコードを送信し、認証を完了する前にそのコードの入力を求めます。詳細については、MFA 向けの SMS 通知と音声通知の設定を参照してください。

音声通知

ユーザーに音声通話でワンタイムコードを配信し、認証を完了する前にそのコードの入力を求めます。詳しくは、MFA の SMS 通知と音声通知を設定する を参照してください。

ワンタイムパスワード

ワンタイムパスワードを使用すると、Google Authenticator などの認証アプリをユーザーの個人用デバイスで使って、一定時間ごとに変化するワンタイムパスワードを生成し、アカウントを確認するための第 2 の認証要素として入力できます。詳しくは、MFA の OTP 通知を設定する を参照してください。

セキュリティキーを使用する WebAuthn

ユーザーが FIDO 準拠のセキュリティキー (例: YubikeyGoogle Titan) を使用して MFA を利用できるようにします。詳細については、MFA 向けにセキュリティキーを使用する WebAuthn を設定する を参照してください。

デバイスの生体認証を使用する WebAuthn

MacBook の Touch Bar、Windows Hello、iOS の Touch ID / Face ID、Android の指紋認証 / 顔認証などのプラットフォーム認証器を使用して、ユーザーが MFA を行えるようにします。詳細については、MFA 用にデバイスの生体認証を使用する WebAuthn を設定するを参照してください。

メール通知

ユーザーが追加の独立した認証要素に登録されている場合は、メールで配信されるワンタイムパスワードを使用して MFA を行えるようにします。詳細については、MFA のメール通知を設定するを参照してください。

Cisco Duo Security

Cisco Duo は複数の認証方式に対応するプロバイダーであるため、ユーザーが利用できる認証要素がこれのみの場合にのみ使用できます。Duo アカウントを使用して、Auth0 で MFA を管理します。詳細については、MFA 向けに Cisco Duo Security を設定するを参照してください。

リカバリーコード

リカバリーコードは、MFA の登録に使用したデバイスまたはアカウントにアクセスできない場合に、ユーザーがアカウントへのアクセスを再取得するための一意のコードです。詳細については、MFA のリカバリーコードを設定するを参照してください。

ポリシー

ポリシーは、ユーザーが特定のアカウントの所有者であることを証明するために、追加の手順の完了を求められるタイミングを決定します。ポリシーを使用して、許容可能なリスク レベルを独自に定義できます。NeverUse Always から選択できます。 Auth0 Actions を使用すると、よりきめ細かな多要素認証の構成 (アプリケーション単位、ユーザー単位など) を実現できます。詳細については、Auth0 Actions を参照してください。
MFA に影響する Rules は、Dashboard のポリシー設定よりも優先されます。
詳細については、OpenID の Defined Authentication Policies を参照してください。

ユースケース

環境に応じて、MFA の管理方法は異なります。
  • B2B: 顧客が自社のユーザーの MFA 認証要素を管理します。
  • B2C: エンドユーザーが My MFA Settings ページで自身の MFA 認証要素を管理します。
  • B2E: 自社で自社のユーザーの MFA 認証要素を管理します。
MFA 認証要素を管理するユーザーインターフェイスの構築に使用できる API エンドポイントについては、Manage Authenticator Factors Using the MFA API. を参照してください。 さまざまな種類のリソースへのアクセスを許可するアプリケーションでは、機密性の高いリソースにアクセスする際に、より強力な認証方式での認証をユーザーに要求できます。詳しくは、Step-Up Authentication を参照してください。 Action を作成するには、Dashboard > Actions > Flows に移動し、認証チャレンジをトリガーする条件を定義します。Actions を使用すると、特定のアプリケーションのユーザーや、特定のユーザーメタデータまたは IP 範囲を持つユーザーに対して MFA を強制できます。 コンテキスト MFA を追加すると、任意の条件を定義して、セキュリティを強化するために顧客に追加の認証チャレンジを要求できます。たとえば、地理的位置 (ジオフェンシング) 、使用するネットワークのアドレスまたは種類 (IP フィルタリング) 、時刻、曜日、またはログインに使用される場所やデバイスの変化などです。

詳細