[アップデート]AWS SSOのMFAでMacbookのTouchID(指紋センサー)が使えるようになりました!
AWS SSOのMFAとして、MacbookのTouchID(指紋センサー)を使えるようになりました!
AWS SSOのMFAがWebAuthNという仕様に対応し、MacbookのTouchIDがこの仕様に準拠していることで利用できるようになっているようですね。ですので、TouchIDに限らず、WebAuthNに対応する認証システムが色々利用できるようになりました。
やってみた(マネジメントコンソール)
今回は内部IDストアを利用したSSOにてやってみます。
MFAの設定
まずAdmin権限を持つユーザーで、Organizationのマネジメントアカウントにログインします。SSOのコンソールの左列メニューの一番下、「設定」をクリック。さらに「多要素認証」欄の設定ボタンをクリックします。
「セキュリティキーと組み込みオーセンティケーター」にチェックを入れましょう。
また、「ユーザーが登録済みの MFA デバイスを持っていない場合」の項目で「サインイン時に MFA デバイスを登録するよう要求する」を選んでおくと、MFA登録を強制させることができます。これも最近のアップデートです。詳しくは以下をどうぞ。
ユーザー作成
既存のユーザーでもTouchIDを使えますが、今回は新規ユーザーを作成します。
SSOコンソールトップページから、「ユーザー」→「ユーザーの追加」と進んでユーザーを作成します。
「パスワード」欄で「ユーザーと共有することができる一時的なパスワードを生成します。」を選択すると、作成完了画面で上記のようにサインイン情報が表示されます。「パスワードの設定手順が記載された E メールをユーザーに送信します。」を選ぶと登録したメールアドレスにサインイン情報が送信されます。
初回サインイン
上記ユーザーポータルURLにアクセスしましょう。最初の画面でユーザー名、次の画面でパスワードを入力します。すると、その次の画面で以下のように表示されます。
「組み込みの認証アプリ」を選択します。
すると、ブラウザから以下のようなモーダルが表示されますので、TouchIDで指紋認証します。
もうひとつモーダルが表示されますので、「許可」を選択します。
以上で完了です。簡単!
次回以降のサインイン
最初の画面でユーザー名、次の画面でパスワードを入力します。ここまでは初回と同じです。3つ目の画面が変わりました。
この画面になったら、指紋認証を行ないます。簡単ですね。
複数のMFA機器を登録もできます
ユーザーは、複数のMFA機器を登録できます。これを利用することで、いつものMFA機器を忘れてしまった場合に、予備のMFA機器でサインインする、とか、 普段はMacbook TouchIDでサインインするけど、別デバイスからのサインイン用に2つ目の機器も登録しておく、なんてことができます。
SSOでサインイン後のポータルトップページ右上のリンクから現在のMFAデバイスを確認でき、新しいデバイスも登録できます。
複数MFA機器を登録している場合のサインイン
Authyによるワンタイムパスワードと、MacbookのTouchID両方をMFA機器として設定したユーザーを作成しました。このユーザーでサインインしようとした場合の挙動を確認します。
最初の画面でユーザー名、次の画面でパスワードを入力します。ここまでは一緒ですね。
3つ目の画面で指紋認証を求められました。TouchIDを使うのならここで使えばサインインできます。ではAuthyを使う場合はどうすれば…ひとまず「キャンセル」を選択します。
「本人確認ができませんでした」のモーダル。「やり直し」をクリック。
選択肢が出てきますが、ワンタイムパスワードは候補に無さそうなので「キャンセル」をクリックします。
エラー画面になりました。お、画面下部に「認証アプリ」というリンクが出てきましたね。これをクリックします。
やっとワンタイムパスワード(MFAコード)の入力フォームが出てきましたね!ここに入力すればサインイン可能です。
まとめ
AWS SSOのMFAでMacbookのTouchID(指紋センサー)(を含むWebAuthN対応機器)が使えるようなったというお知らせでした。このいわゆるpre:Invent期間、ちょくちょくSSOのアップデートがあって嬉しいです。本番の re:Inventでも何か大型アップデートがあるかも??