はじめに
概要
Keycloakにおけるユーザの「ワンタイムパスワード認証(OTP)」のリセット手順を紹介します。
Keycloakでは「多要素認証(MFA)」の機能を提供しており、Google Authenticator等を使用してスマートフォンから追加認証のためのワンタイムパスワードを取得可能です。しかし、
- スマートフォンを紛失/故障してしまった
- Authenticator の移行作業をせずに端末変更をしてしまった
場合などには、MFA認証を利用できない状況となり、サービスにログイン不能となってしまいます。
このような場合、Keycloakの管理者により対象ユーザのOTP設定のリセットが必要となります。
本記事では、KeycloakのOTP設定のリセット手順を紹介します。Keycloakのインストールや初期設定、OTPの設定方法については記載しません。
想定読者
- Keycloak Admin
前提
- Keycloakの認証設定でOTPが有効化済みであること
- OTPでログイン済みのユーザが存在すること
手順
-
管理者アカウントでKeycloak Admin Consoleにログインし、[対象のRealm] > 左メニューの [Manage][Users] から、OTP設定をリセットしたいユーザを選択し、[Credentials]タブを選択します。
-
OTPでログイン済みの場合、
Manage Credentialにotpの行が追加されています。これを削除します。
-
ユーザの[Details] タブを表示します。
-
[Required User Actions] に
Configure OTPを選択し、保存します。
-
該当ユーザにアプリケーションにログインしてもらいます。ユーザ名/パスワードを入力後、以下の画面に遷移しMFAデバイスの再設定が可能となります。
おわりに
手順は以上です。
Authy等、複数端末で利用可能なAuthenticatorもありますが全てのサービスで使用できるとは限らず、Google Authenticatorの移行作業も簡単にはなりましたが故障や紛失等不意の事故もあり、このような作業は割と頻繁に発生するのではないでしょうか?
この記事がみなさんのお役に立てれば幸いです。