はじめに
ある日担当しているしているお客様から「MFA認証(多要素認証)に利用していたスマホがおかしくなって認証できません。OCIに入れなくなってしまいました。どうしたらよいですか。」というメールを頂きました。これはつまりログイン時のこの画面からスマホが認証エラーで次に進めなくなってしまったことを指しています。
実際日常生活で使っている自分のスマホがおかしくなることってたまにあります。会社のスマホにおいてもそのようなケースは起こりうるため今回行った複数の対処法を順にご紹介します。
目次
1.別の管理者でログインを試す
2.バイパスコードを利用する
3.手動でのアカウント追加を行う
4.オラクルサポートエンジニアに連絡する
5.まとめ
6.参考文献
1.別の管理者でログインを試す
まず別の管理者(ユーザー管理権限保有ユーザー)がお客様環境にある場合、そのユーザーでログインし問題が該当ユーザーのMFA認証(多要素認証)をリセットすることが可能です。今回は下記手順でリセットしてみます。
まず、ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」→「ドメイン」をクリックします。
ユーザーが所属している対象の[ドメイン名]をクリックします(今回はDefaltです)。
[ユーザー]→対象となる[ユーザー名]をクリックします。
[ファクタのリセット]をクリックします。
[ファクタのリセット]をもう一度クリックします。
右上に「該当ユーザーのすべての検証ファクタがリセットが正常にリセットされました」と通知が出ればリセット完了です。これで該当ユーザーが登録されている既存のファクタが削除されます。ユーザーは、次にログインしたときに、2ステップ検証およびアカウント・リカバリに登録するよう求められます。次のログイン時に直した社内スマホでMFA認証の再設定を行えばOCIにこれまで通り入れるようになります。
2.バイパスコードを利用する
次はバイパスコードを利用するやりかたです。MFA認証ができないときに[代わりのログイン方法を表示]をクリックしバイパスコードを入力することでMFA認証の代わりとしてログインすることができます。こちらは事前にバイパスコードが作成してある前提ですのでこちらの作成がなく認証用スマホを利用できない場合にはこの方法は使えません。
ちなみに1個上にオーセンティケータ・アプリケーションによって生成されるパスコードを使用という項目もありますが(下記の部分です↓)...
スマホが故障しているということは認証アプリで生成されるパスコードも見れない可能性が高いので今回は除外します。
事前準備としてのバイパスコードの生成ですが非常にわかりやすい手順が公開されましたのでこちらの資料を見ながら利用できなくなった時のために設定してみてください。
手順:OCI IAM Identity Domains MFA用モバイル端末の故障・紛失時に利用するバイパスコード
また、Docsの記載ページはこちらになります。
参考:ユーザーのバイパス・コードの生成
3.手動でのアカウント追加を行う
こちらはモバイルアプリケーションは使えるけど認証先デバイスを変更しなくてはいけないというときの対処法です。
こちらは公開ドキュメントがありますので下記手順をご覧ください。
OCIコンソールアクセス時のMFA(2要素認証)で利用する
モバイル端末の変更
QRが読み取れない場合は上記資料P23の[オフライン・モードまたは別のオーセンティケータ・・・]を選択してキーを発行します。
その後オーセンティケータアプリケーションを開き[アカウントを追加]をクリックします。
[キーを手動で入力]をクリックします。
[Oracle]をクリックします。
アカウントID(Oracle Cloudログイン時のメールアドレス)、キー(先ほど発行したもの)を入力して[保存]をクリックします。アカウントが追加されたら完了です。
4.[オラクルサポートエンジニアに連絡する]
上記すべてが難しい場合はSRを起票してオラクルのサポートエンジニア側で再設定ができるように対応してもらいましょう。
SRのあげ方が分からない場合はこちらをご覧ください
Oracle Cloud Support ご利用ガイド v2.4
5.まとめ
今回対応していたケースでは上記のどの再設定手段もできずSRにて再設定を行い解決しました。OCIではスマホが使えなくなってもほかの手段やサポート側でも対応できますのでなにかあったときのために上記の方法を頭の片隅に置いておくと焦らずに再設定による第3者のログイン防止やログインの再開が可能になりますので安心して利用していただければと思います。