[アップデート]AWS SSOでユーザーへサインイン時にMFA登録を要求できるようになりました!

AWS SSOでサインイン時にMFA(多要素認証)デバイスの登録をユーザー自身に行ってもらえるようになりました!
2020.11.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWS SSOでサインイン時にMFA(多要素認証)デバイスの登録をユーザー自身に行ってもらえるようになりました!

AWS SSOは以前からMFAアプリを使用した多要素認証に対応していました。

しかし、MFAデバイスの登録はログインするユーザーではなく、管理者権限をもつユーザーで行う必要がありました。

今回のアップデートで、管理ユーザーがMFAデバイスを設定することなく、ログインするユーザー自身がMFAデバイスを登録できるようになります。

やってみた

AWS SSOのマネジメントコンソール画面を開いて、 設定 メニューを選択し、多要素認証の 設定 ボタンから設定します。

サインイン時にMFAデバイスを登録するよう要求する を選択することで、自動的に ユーザーは自分のMFAデバイスを追加および管理できます にチェックが入り、ログインするユーザーが自分でMFAデバイスを登録できるようになります。

ログインするユーザー自身がMFAデバイスを登録できるのか、実際に新しいユーザーを追加して確かめてみます。

ユーザー情報を適当に入力して次へ進みます。

ReadOnlyグループに所属させて、ユーザーを追加します。

ユーザーが作成できると、登録したE-mailアドレス宛に次のようなinivitationメールが来るのでacceptします。

新規ユーザーのサインアップとしてパスワードの設定が求められるので、パスワードを適当に入力して設定します。

そうすると、MFAデバイスを登録する画面が表示されて、ログインユーザー自身でMFAデバイスを登録できることが確認できました!
このまま実際にMFAアプリ(Google Authenticator, Authy等)を使用して登録してみます。

MFAを割り当てると、認証アプリが登録済みになり、次回からMFAデバイスを利用した多要素認証でサインインできます。

一度ログアウトした後、再度ログインしてみます。

そうすると、MFA(多要素認証)が設定されているのでMFAコードの入力が促され、パスワードだけではサインインできなくなっていることがわかります。

終わりに

AWS SSOでMFA(多要素認証)したい場合、管理ユーザーによるMFAデバイス登録に手間がかかっていました。

しかし、今回のアップデートによりMFAデバイスの登録をログインユーザー自身に行ってもらえることができ、 MFAデバイスの登録を必須にすることもできるので、セキュリティ面に配慮しながら管理ユーザーの負荷を下げることができるうれしいアップデートだと思います。