AWSのシングルサインオンサービスであるAWS SSOにメールによるMFA機能が追加されたので設定してみました。これまでMFAを実現するためにはディレクトリ側(Active Directoryなど)でRADIUSサーバを設定する必要がありましたが、この機能によってAWS SSO側でマネージドなMFAが設定できるようになりました。AWS SSOはマルチアカウント環境のログインユーザ管理が簡単なステップでとても楽になるためお勧めです。
前提条件
- すでにAWS SSOが設定済みである。
- ディレクトリとしてActive Directoryを使用している場合は、ADユーザのプロパティでメールアドレスが設定されている必要があります。AWS SSOディレクトリを使っている場合はユーザ作成時に入力するメールアドレス(ユーザ名)が使用されます。
AWS SSOでMFAを設定する
-
AWSマネジメントコンソールにログインし、AWS SSOのコンソールを開きます。(2018/1時点でAWS SSOの設定はバージニア北部リージョンからのみ可能です。)
-
"設定"をクリックします。
-
"AWS MFAの設定"をクリックします。
-
"MFAモード"を選択します。"MFAメソッド"は現時点ではEメールベースのMFA"のみです。
-
警告画面で"CONFIRM"を入力します。
-
設定が完了します。
-
AWS SSOのユーザポータルからログインしてみます。
すると以下の画面が表示されるようになります。
ユーザにメールアドレスが適切に設定されていない場合は以下の画面が表示されます。
-
ユーザのメールアドレス宛に以下のようなメールが届くため、確認コードを入力し、"サインイン"をクリックします。コードの有効期間は10分です。
-
ユーザポータルにログインできました。
まとめ
RADIUSサーバの設定なしに簡単にAWS SSOにMFAを設定することができました。対応方式が増えるとより良いですね。