[アップデート]AWS SSOでユーザーへサインイン時にMFA登録を要求できるようになりました！

AWS SSOでサインイン時にMFA（多要素認証）デバイスの登録をユーザー自身に行ってもらえるようになりました！

• AWS Single Sign-On enables administrators to require users to set up MFA devices during sign-in

AWS SSOは以前からMFAアプリを使用した多要素認証に対応していました。

しかし、MFAデバイスの登録はログインするユーザーではなく、管理者権限をもつユーザーで行う必要がありました。

今回のアップデートで、管理ユーザーがMFAデバイスを設定することなく、ログインするユーザー自身がMFAデバイスを登録できるようになります。

やってみた

AWS SSOのマネジメントコンソール画面を開いて、 設定 メニューを選択し、多要素認証の 設定 ボタンから設定します。

サインイン時にMFAデバイスを登録するよう要求する を選択することで、自動的に ユーザーは自分のMFAデバイスを追加および管理できます にチェックが入り、ログインするユーザーが自分でMFAデバイスを登録できるようになります。

ログインするユーザー自身がMFAデバイスを登録できるのか、実際に新しいユーザーを追加して確かめてみます。

ユーザー情報を適当に入力して次へ進みます。

ReadOnlyグループに所属させて、ユーザーを追加します。

ユーザーが作成できると、登録したE-mailアドレス宛に次のようなinivitationメールが来るのでacceptします。

新規ユーザーのサインアップとしてパスワードの設定が求められるので、パスワードを適当に入力して設定します。

そうすると、MFAデバイスを登録する画面が表示されて、ログインユーザー自身でMFAデバイスを登録できることが確認できました！
このまま実際にMFAアプリ（Google Authenticator, Authy等）を使用して登録してみます。

MFAを割り当てると、認証アプリが登録済みになり、次回からMFAデバイスを利用した多要素認証でサインインできます。

一度ログアウトした後、再度ログインしてみます。

そうすると、MFA（多要素認証）が設定されているのでMFAコードの入力が促され、パスワードだけではサインインできなくなっていることがわかります。

終わりに

AWS SSOでMFA（多要素認証）したい場合、管理ユーザーによるMFAデバイス登録に手間がかかっていました。

しかし、今回のアップデートによりMFAデバイスの登録をログインユーザー自身に行ってもらえることができ、 MFAデバイスの登録を必須にすることもできるので、セキュリティ面に配慮しながら管理ユーザーの負荷を下げることができるうれしいアップデートだと思います。