IAM Identity Centerで作成したユーザーにMFA認証なしでログインしてみた

IAM Identity Centerで作成したユーザーにMFA認証なしでログインしてみた

Clock Icon2024.07.09 05:43

はじめに

IAM Identity Center(以下IdP)で発行したユーザーにMFA認証なしでログインしたいということがありました。
具体的にはAmazon Managed Grafana(以下AMG)に使用するIdPユーザーを、OSSのGrafanaと同じようにID, PWのみで認証するという内容です。

基本的にMAFを無効化することはセキュリティリスクが上がるため推奨しておりません。
MFA無効化により発生するセキュリティリスクを考慮した上で設定を行いましょう。

今回はMFA登録なしでAMGにログインする方法を3つ紹介します。

  • IdP全体でMFA登録を無効化
  • MFAデバイスを登録していないユーザーのみMFA認証なしでログイン
  • ワンタイムパスワードを使用してログイン

IdP全体でMFA登録を無効化

IdPはデフォルトではMFAが必須です。
まずはIdPユーザーにMFAデバイスが割り当てられている状態でログイン動作確認します。
image1

このユーザーでAMGにログインしてみます。
image2
当然MFA認証を聞かれますね。

では次にIdPのMFAを無効化します。
IdP > 設定 > 認証 > 多要素認証 の設定をクリックします。
image11

「MFA のプロンプトをユーザーに表示」 を 「なし(無効)」にチェックを入れて変更を保存します。
image4

再度IdPユーザーを確認します。
MFAデバイスの列が無くなっていることがわかります。
image5

それでは再度Grafanaにログインしてみます。
パスワードを入力するとMFAを聞かれずにログインすることができました。
image6

<注意点>
MFAの無効化はIdPユーザー毎ではなく、IdP全体に適用される点には注意が必要です。

MFAデバイスを登録していないユーザーのみMFA認証なしでログイン

ユーザーごとにMFAの必要、不要を設定したい場合はこちらの方法を使います。
先ほどと同じように IdP > 設定 > 認証 > 多要素認証 の設定をクリックします。

「登録された MFA デバイスをユーザーが持っていない場合」を「ユーザーにサインインを許可する」に設定ます。
image7

書いてある通りですが、MFAデバイスを持っていないユーザーに対してのサインイン時の挙動を設定します。
今回はMFA認証を行いたくないので、サインインを許可するように設定します。

MFA登録ありとMFA登録なしのユーザーを用意します。
image8

それぞれログインしてみます。
MFAありのユーザーではMFA認証を求められました。
image9

MFAなしのユーザーではID, PWのみでログインすることができました。
image6
これで個別にMFAを設定してログインできることを確認できました。

ワンタイムパスワードを使用してログイン

最後に、MFAの代わりにワンタイムパスワードを使ったログインも試してみます。
先ほどと同じように IdP > 設定 > 認証 > 多要素認証 の設定をクリックします。

「登録された MFA デバイスをユーザーが持っていない場合」を「Eメールで送信されるワンタイムパスワードの入力を要求する」に設定します。

それではMFAを登録していないユーザーでログインしてみます。
image10
ワンタイムパスワードを聞かれます。

IdPユーザーに紐づいたメールアドレスへワンタイムパスワードが届いているので入力します。
これでログインができました。
image6

まとめ

MFAの無効化は簡単にできました。
冒頭でも書きましたが、MAFを無効化することはセキュリティリスクを伴います。
MFA無効化により発生するセキュリティリスクを考えた上で設定を行いましょう。

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.