多要素認証導入に伴うアカウント管理について
完了
参考資料:「kompira cloud 共通メニュー利用マニュアル」
上記参考資料より、以下4点質問をいたします。
【質問1】「有効化とセットアップ」について
・「有効化」ボタンをクリックする際ログアウトが必要ですが、この機能は各userIdのプロフィールに属しているので、「有効化」したいuserIdだけのログアウトになると認識しています。
従って、「有効化」したuserId と、「無効化」のままのuserId が混在した運用が可能と考えていますが合っていますでしょうか?尚、リカバリーコードも各userId毎に発行される認識です。
【質問理由】
・導入に際し、テスト環境がないため、多要素認証を導入した直後の未確定要素を鑑み、別の特権ユーザーで通常(無効化)ログイン状態を保持しておこうと考えているため
【質問2】「メールアドレスの変更」
・当機能は、現在のuserIdを保持したまま、紐づいているメールアドレスだけを変更する機能かと思います。
現在この機能は「多要素認証」と同じくプロフィールメニューに属しているので、
A.各ユーザーごとに行うのでしょうか?プロフィールの中からしか行えないようなのですが、特権ユーザーのプロフィールから他のuserId のメールアドレスを指定して送信すれば、他者の分も実施できるでしょうか?
B.また、特権ユーザーであっても、この機能からメールアドレスの変更だけ行えると思いますが、以前「特権ユーザーの変更について」という質問に以下のアドバイスをいただきました。こちらの通り、より高い安心感をもって取り組む場合は、今も以下の手順で変わりませんか?
【質問3】登録されるuserId に対し、メールアドレスは必ず unique でなくてはなりませんか?それとも複数の userId 間で同一のメールアドレスを登録できますか?
【質問4】「kompira cloud 共通メニュー利用マニュアル」
・現在以下の情報を参考にさせてもらっています。
はじめに - Kompira cloud 共通メニュー利用マニュアル (fixpoint.github.io)
他にも多要素認証に関連したマニュアルがあればご教示ください。
以上、よろしくお願いいたします。
-
正式なコメント
回答いたします。
【質問1】有効化とセットアップについて
「有効化」したuserId と、「無効化」のままのuserId が混在した運用が可能と考えていますが合っていますでしょうか?尚、リカバリーコードも各userId毎に発行される認識です。
ご認識の通りです。
【質問2】メールアドレスの変更について
A.各ユーザーごとに行うのでしょうか?プロフィールの中からしか行えないようなのですが、特権ユーザーのプロフィールから他のuserId のメールアドレスを指定して送信すれば、他者の分も実施できるでしょうか?
各ユーザーごとに行うものであり、他者のメールアドレスは変更出来ません。
B.また、特権ユーザーであっても、この機能からメールアドレスの変更だけ行えると思いますが、以前「特権ユーザーの変更について」という質問に以下のアドバイスをいただきました。こちらの通り、より高い安心感をもって取り組む場合は、今も以下の手順で変わりませんか?
はい、変わりません。
【質問3】メールアドレスの一意性について
登録されるuserId に対し、メールアドレスは必ず unique でなくてはなりませんか?それとも複数の userId 間で同一のメールアドレスを登録できますか?
ユニークである必要があります。
複数の userId 間で同一のメールアドレスを登録する事は出来ません。【質問4】多要素認証関連のマニュアルについて
他にも多要素認証に関連したマニュアルがあればご教示ください。
多要素認証に関連するマニュアルは、ご共有いただいたもののみです。
コメントアクション -
ご返答ありがとうございました。
申し訳ありませんが、もう1つ質問をお願いいたします。
弊社では、Kompira APIの
/api/apps/pigeon/results 連絡処理結果の一覧取得
を5分おきに稼働させ、自動で架電ステータスをチェックする業務を稼働させます。
そのため、絶対に関係ないとは思うのですが、念のためお聞きいたします。
Kompira cloud のURLに人がログインする際のログインユーザーの認証と、
上記のREST APIの実行認証は全く関係ないと思っております。
(※REST API が求める認証は 弊社kompira cloud URL と 認証TokenIdのみ)
従って、
Kompira cloud のURLに人がログインする際のログインユーザーを多要素認証に変えたとしても、
/api/apps/pigeon/results 連絡処理結果の一覧取得の自動稼働とは全く関係なく、何の影響もない認識です。
絶対に間違いないと思っており、
当たり前のことを質問して恐縮いたしますが、念のためご回答いただけますと助かります。
以上、よろしくお願いいたします。 -
お世話になっております。
多要素認証と特権アカウント削除に関して質問させてください。〔1 多要素認証について①〕
アカウントを作成する際のメールアドレスと、
多要素認証の「別の方法で試す」> 「メール」の際のメールアドレスとを
別のものにすることは出来ますか?
〔1 多要素認証について②〕
多要素認証をメールで行いたい、電話番号登録はしたくないという場合、以下の画面の「電話番号の入力」を空白のままで「続ける」を選択しても認証登録はできますか?また何らかの問題はないですか?
〔2 特権アカウント削除について〕導入初期のPoCから使用している特権アカウントを削除することになりました。
そのアカウントで、現在稼働しているスコープ、ルール、トリガー、アクションなどの種々の設定を
行ってまいりましたが、
・現在稼働しているAlertHub/Pigeon の設定や運用稼働 と
・それらを設定してきたアカウントの削除 とは
何の関係もないということで間違いないでしょうか?
万が一にも、アカウント整理によって、現在の自動架電に影響があってはならないので、
確認させていただきたいと思います。
以上、よろしくお願いします。 -
お世話になっております。
回答させていただきます。〔1 多要素認証について①〕
「別の方法で試す」> 「メール」を選択した際、登録時のメールアドレスにメールが送信される仕組みとなっております。
そのため、別のメールアドレスを登録することはできかねます。〔1 多要素認証について②〕
恐れ入りますが、多要素認証において電話番号を登録しないことはできかねます。
現在、Kompira cloud の多要素認証で利用できるのが SMS のみであるため、電話番号を登録する必要があります。
メールでの認証は SMS が一時的に利用できない場合の回避手段とお考えください。
多要素認証を設定する際は電話番号を登録いただくようお願いいたします。〔2 特権アカウント削除について〕
特権アカウントを削除しても、作成した設定内容に影響はございません。 -
ご回答ありがとうございました。
私の以下の質問に対して、
> 何らかの電話番号を登録しておいて、毎回 「別の方法で試す」> 「メール」を選択する運用では何か問題> は出ますでしょうか?
>>> 多要素認証を設定した上でメールのみを利用することも可能ではありますが、
>>> 想定しない利用方法であることと知識要素のみの認証となることをご認識ください。
と、ご回答くださったと理解しています。
>>> 知識要素のみの認証
というのは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち PW と 認証コードの
知識要素による2段階認証に該当する、という意味ですよね。
要素としては「知識のみ」なので、多要素認証よりも安全度は下がるということをご指摘くださっていると認識しました。
また、
>>> 多要素認証を設定した上でメールのみを利用することも可能ではありますが、想定しない利用方法であること
の回答については、
毎回 「別の方法で試す」> 「メール」を選択するのは、想定しない利用方法ではあるけれども、
「存在する電話番号」を登録した上であれば利用できる、と解釈しております。
こちらは齟齬はないでしょうか?
何度も申し訳ございません。
ご回答のほど、よろしくお願いいたします。
サインインしてコメントを残してください。
コメント
13件のコメント