2 要素認証の使用

Red Hat Customer Portal 1

2 要素認証を使用した Red Hat ユーザーアカウントへのアクセス

Red Hat Customer Content Services

概要

このガイドでは、オーセンティケーターアプリケーションまたはリカバリーコードを使用して、Red Hat ユーザーアカウントにアクセスするための 2 要素認証をセットアップおよび削除する方法について説明します。
Red Hat SSO (RH-SSO) 製品の詳細は、Red Hat Single Sign-On の製品ドキュメント を参照してください。

前書き

2 要素認証は、ログインプロセスにセキュリティーの層を追加します。Red Hat ログインと強力なパスワードに加えて、ログイン操作を完了するには、ワンタイムパスワードが必要です。スマートフォンの認証アプリケーションによって生成されるワンタイムコードです。リカバリーコード認証は、認証アプリケーションが利用できない場合にバックアップとして使用できるワンタイムコードのリストを生成します。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 Red Hat ユーザーアカウントの 2 要素認証 (2FA) について

Red Hat を使用すると、ユーザーは Red Hat ユーザーアカウントにログインするための追加セキュリティーレイヤーとして 2 要素認証を有効にできます。2 要素認証を有効にすると、パスワードおよびワンタイムパスワードを使用してアカウントにログインします。ワンタイムコードは 2 番目の認証要素です。

2 要素認証機能は、次の 2 つの方法のいずれかで利用できます。

  • 組織の 2 要素認証。組織で 2 要素認証が有効になっている場合、特定の組織アカウントに属するすべてのユーザーは、認証するたびに 2 つ目の要素を使用する必要があります。組織アカウントが登録された後の最初のログイン試行時に、ユーザーは 2 要素認証を有効にするように求められます。
  • 個別のオプトイン 2 要素認証。個々のユーザーは、Red Hat アカウントの 2 要素認証を有効または無効にすることができます。組織の 2 要素認証を有効にすると、各ユーザーはこれを無効にできません。
注記

2 要素認証の現在の実装は、ブラウザーベースの認証フローを使用するアプリケーションにのみ適用されます。コマンドラインの認証フローには適用されません。

1.1. 組織の 2 要素認証

アカウントの組織管理者は、組織全体の 2 要素認証を有効にできます。有効にすると、そのアカウントのすべてのユーザーが、ログイン時に認証に 2 要素認証を使用する必要があります。「組織全体の認証要素の設定」 を参照してください。

1.2. 2 要素認証およびトークンのサポート

2 要素認証に対するトークンのサポートは、スマートフォンまたはその他のデバイスに限定され、以下のアプリケーションのいずれかを Apple App Store または Google Play からインストールできます。

  • Google Authenticator
  • FreeOTP Authenticator

Google Authenticator および FreeOTP Authenticator は、唯一サポートされているトークンジェネレーターです。ハードウェアトークン、SMS (テキストメッセージ) トークン、およびその他のアプリはサポートされていません。

第2章 2 要素認証の使用

2 要素認証の使用は、以下のアクティビティーで設定されます。

注記

Google Authenticator および FreeOTP Authenticator は、2 要素認証の 1 回限りのコードを提供する唯一のサポートされているトークンジェネレーターです。ハードウェアトークン、SMS (テキストメッセージ) トークン、およびその他のアプリはサポートされていません。これらのアプリケーションは、スマートフォン、もしくはその他の互換性のある Android デバイスまたは iOS デバイスにインストールできます。

サインインオプションを更新する際に、再度ログインするよう求められる場合があります。これは通常のアクションであり、アカウントのセキュリティーを強化するために提供されています。

2.1. 組織全体の認証要素の設定

組織管理者は、組織内のすべてのユーザーに対して 2 要素認証を有効にできます。これを有効にすると、ユーザーが Red Hat ユーザーアカウントにログインするためのパスワードに加えて、2 要素認証を使用する必要があります。

すべてのユーザーに対して 2 要素認証を有効にすると、ユーザーは認証アプリケーションを設定してから続行することを求めるプロンプトが出されます。2 要素認証の設定を完了すると、ログインするたびにオーセンティケーターアプリケーションからワンタイムコードを使用する必要があります。

注記

ユーザーが必要に応じて、Signing 設定でユーザーアカウントの 2 要素認証を有効にすることを選択した場合は、組織の 2 要素認証設定に関係なく、アカウントに対して 2 要素認証が有効になります。

前提条件

  • 組織全体の 2 要素認証を有効にすることができるのは、組織管理者権限を持つユーザーのみです。

手順

  1. 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインします。
  2. ログイン後にホームページから、⚙ (設Settings定) をクリックします。
  3. Identity & Access Management をクリックします。
  4. Identity & Access Management ウィンドウが表示されたら、Authentication Factors をクリックします。
  5. Authentication factors ページで、Enable two-factor authentication for your organization をオンにします。
  6. Save をクリックします。

組織のすべてのユーザーには、2 要素認証が必要になりました。

2.2. アカウント情報の確認

2 要素認証を有効にする前に、アカウント情報を確認することが求められる場合があります。Red Hat は、二要素認証を有効にする前に確認されたメールアドレスとそれに関連付けられている電話番号がアカウントに設定されていることを確認します。電話番号が必要です。また、アカウントを回復する必要がある場合に電話コールを直接受け取れるようにしておく必要があります。

2.2.1. メール情報の確認

Red Hat ポータルへのログイン中に確認要求を受け取ったら、現在のメールアドレスを確認します。メールを確認していないと、アラートメッセージ"Your email address has not been confirmed." が表示されます。

前提条件

  • 登録済みの Red Hat ユーザーアカウント。
  • 確認通知を受け取ったメールアドレス。

手順

Red Hat ポータルにログインする際にメール通知が表示された場合は、以下の手順に従います。

  1. Red Hat ユーザーアカウントにログインします。
  2. 確認アラートメッセージが表示され、確認メールを受け取っていない場合は、Resend confirmation email をクリックします。
  3. no-reply@redhat.com からメールの確認メッセージを確認します。
  4. メールの指示に従って、メールアドレスを確認します。
  5. 手順を完了すると、確認ウィンドウが表示されます。

2.2.2. 電話番号の確認

アカウントに電話番号がない場合は、電話番号の提供を尋ねる確認通知が表示されることがあります。電話番号が必要です。また、アカウントを回復する必要がある場合に電話コールを直接受け取れるようにしておく必要があります。

前提条件

  • 登録済みの Red Hat ユーザーアカウント。
  • ダイレクト音声コールを受け取ることができる電話番号

手順

Red Hat ポータルにログインする際に電話番号の検証に関する通知が表示される場合には、以下の手順に従います。

  1. Red Hat ユーザーアカウントにログインします。
  2. 検証ウィンドウで、国コードを含む連絡先電話番号を入力します。
  3. Submit をクリックします。

2.3. Red Hat ユーザーアカウントの 2 要素認証の有効化

アカウントの組織管理者は、組織全体の 2 要素認証を有効にできます。この場合、組織内のすべてのユーザーがサインイン時に 2 要素認証を使用する必要があります。

注記

お客様の企業ポリシーで Red Hat アカウントへのアクセスに 2 要素認証が必要であるにもかかわらず、2 要素認証を有効にしていない場合は、ログイン直後に 2 要素認証を有効にする手順が表示されます。

組織全体の 2 要素認証が必要ない場合は、Red Hat ユーザーアカウントの 2 要素認証を有効にするか、オンにすることができます。2 要素認証を有効にした後に、Red Hat ログインおよびパスワードに加えてワンタイムコードを使用して Red Hat アカウントにログインします。ワンタイムコードは、スマートフォンまたはその他のサポートされているデバイスにインストールするオーセンティケーターアプリにより生成されます。

前提条件

  • 登録済みの Red Hat ユーザーアカウント。
  • Google Authenticator アプリまたは FreeOTP アプリがインストールされているスマートフォンまたはその他のデバイス。

手順

以下の手順は、サポートされるオーセンティケーターアプリがインストールされていることを前提としています。

  1. Red Hat カスタマーポータル などの Red Hat サイトで Red Hat ユーザーアカウントにログインします。
  2. パネルの右上にあるユーザーアバターをクリックします。

    img RH login icon hilite scaled

    アカウント情報を確認できるページが開きます。

    注記

    使用するログインポータルによっては、別のアイコンが表示される場合があります。

  3. Account details をクリックします。アカウント情報を編集できるページが表示されます。
  4. Login & password をクリックします。
  5. Login & password ページで、2-factor authentication まで下にスクロールし、Manage 2-factor authentication をクリックします。Signing in ページが開きます。
  6. スマートフォンで認証アプリを開き、トークンを追加するオプションを選択します。これらの方法のいずれかを使用して、Red Hat の 2 要素認証にトークンを追加できます。

    1. オーセンティケーターアプリケーションを使用して、2 要素認証 ページで開いている QR コードをスキャンします。
    2. または、Unable to scan?Enter the key instead をクリックすることで、オーセンティケーターアプリに入力する必要のある 32 文字のキー文字列を表示します。
  7. QR コードをスキャンした後 (またはキー文字列を入力した後)、認証システムアプリは最初のワンタイムの 6 桁のコードを作成します。このコードを One-time code フィールドに入力します。
  8. Device name フィールドにオプションの名前を入力します。この名前により、どのモバイルデバイスにこのログインのオーセンティケーターアプリがあるかを確認できます。

検証

サインインページには、認証アプリが設定された日時と、アプリに付けたオプションの名前が表示されます。

img RH 2FA enable complete

2.4. 2 要素認証でログイン

認証アプリによって提供されるワンタイムコードを使用して、Red Hat カスタマーポータル などの任意の Red Hat サイトで Red Hat ユーザーアカウントにログインします。オーセンティケーターアプリは 30 秒ごとにワンタイムコードを更新します。タイミングにより、最初のコードが機能しない場合は、更新コードを入力しないといけない場合があります。

前提条件

手順

  1. オーセンティケーターアプリを開きます。
  2. ブラウザーを使用して、Red Hat カスタマーポータル などの Red Hat サイトに移動します。
  3. メールまたは Red Hat ログインを入力します。
  4. Red Hat パスワードを入力します。2 要素認証を確認するためにページが開きます。
  5. オーセンティケーターアプリから One-time code ボックスに 6 桁のワンタイムコードを入力し、Log in をクリックします。
    Red Hat アカウントの greeting ページが開きます。

検証

6 桁のワンタイムコードが受け入れられないと、検証ページに留まります。以下のアクションを試すことができます。

  1. 数秒待ってから、オーセンティケーターアプリから新しいコードを入力します。
  2. オーセンティケーターアプリで複数のトークンを有効にしている場合は、Red Hat アカウントのトークンを使用していることを確認してください。たとえば、Google アカウント、銀行アカウント、および Red Hat アカウントに 2 要素認証トークンがある場合があります。
  3. 2 要素認証を有効にして Red Hat にログインできない場合は、アカウントのリセットについて Red Hat カスタマーサービス にお問い合わせください。

2.5. Red Hat ユーザーアカウントの 2 要素認証 (2FA) の削除

Red Hat ユーザーアカウントの 2 要素認証を削除できます。組織管理者が 2 要素認証を有効にするのにユーザーアカウントを必要とするポリシーを設定している場合は、次に 2 要素認証を削除したら、ユーザーログインに対して 2 要素認証を再度有効にする必要があります。

ユーザーログインの 2 要素認証を再度有効にするたびに、新しいトークンをオーセンティケーターアプリに追加します。スマートフォンで無効にしたトークンを管理するのはユーザー次第です。

オーセンティケーターデバイスを紛失し、Red Hat カスタマーサービス に 2 要素認証の取り消しを依頼する必要がある場合は、4章オーセンティケーターデバイスを紛失した場合の 2 要素認証の取り消し を参照してください。

前提条件

  • 登録済みの Red Hat ユーザーアカウント。
  • Google Authenticator アプリまたは FreeOTP アプリがインストールされているスマートフォンまたはその他のデバイス。
  • 2 要素認証が有効になっている Red Hat ユーザーアカウント。

手順

  1. 2 要素認証を使用して Red Hat ユーザーアカウントにログインします。
    「2 要素認証でログイン」
  2. ページの右上のユーザーアバターをクリックします。

    img RH login icon hilite scaled

    アカウント情報を確認できるページが開きます。

    注記

    使用するログインポータルによっては、別のアイコンが表示される場合があります。

  3. Account details をクリックします。アカウント情報を編集できるページが表示されます。
  4. Login & password をクリックします。
  5. Login & password ページで、2-factor authentication まで下にスクロールし、Manage 2-factor authentication をクリックします。Signing in ページが開きます。
  6. Remove をクリックして、ユーザーログインの 2 要素認証を削除します。

    img RH 2FA enable complete

    注記

    Remove ボタンは無効化するか、ユーザーのログインの 2 要素認証をオフにします。2 要素認証を再度有効にすると、有効化する認証手順を繰り返して、新しいトークンをオーセンティケーターアプリに追加します。無効にされたオーセンティケーターに関連付けられたトークンは機能しなくなります。

第3章 2 要素認証に回復コードを使用する

リカバリーコードは、認証アプリが利用できない場合に 2 要素認証を確認するための代替方法を提供します。リカバリーコードを設定すると、ログインに固有のコードのリストが表示されます。各コードは 1 回しか使用できず、システムは各コードが使用されるたびに追跡します。ユーザーアカウントのリカバリーコードを削除することもできます。

リカバリーコードをセカンダリー 2 要素認証として使用することも、スマートフォンで認証アプリを設定せずにプライマリー 2 要素認証として使用することもできます。ただし、推奨されるアクションは、リカバリーコードを認証アプリのバックアップとして使用することです。

サインインオプションを更新する際に、再度ログインするよう求められる場合があります。これは通常のアクションであり、アカウントのセキュリティーを強化するために提供されています。

リカバリーコードを有効にして Red Hat に正常にログインできない場合は、Red Hat カスタマーサービス に連絡して、アカウントのリセットに関する支援を受けてください。

3.1. 2 要素認証用のリカバリーコードの作成

アカウントの 2 要素認証を有効にした後、リカバリーコードを作成します。認証デバイスを紛失した場合は、リカバリーコードを使用して認証し、アカウントにログインできます。

重要

リカバリーコードを設定しないことを選択した場合、アカウントにアクセスできなくなる可能性があります。

前提条件

手順

  1. Red Hat カスタマーポータル などの Red Hat サイトで Red Hat ユーザーアカウントにログインします。
  2. パネルの右上にあるユーザーアバターをクリックします。

    img RH login icon hilite scaled

    アカウント情報を確認できるページが開きます。

    注記

    使用するログインポータルによっては、別のアイコンが表示される場合があります。

  3. Account details をクリックします。アカウント情報を編集できるページが表示されます。
  4. Login & password をクリックします。
  5. Login & password ページで、2-factor authentication まで下にスクロールし、Manage 2-factor authentication をクリックします。Signing in ページが開きます。
  6. Set up recovery codes をクリックします。
  7. リカバリーコード ページが開き、一意のコードのリストが表示されます。
  8. このページの指示に従って、コードのリストを印刷、ダウンロード、またはコピーしてください。

    重要

    リカバリーコードは安全な場所に保管してください。リカバリーコードを有効にすると、次回のログイン時にリカバリーコードの入力を求められます。

  9. Complete setup をクリックして、Signing in ページに戻ります。
  10. Signing in ページで、リカバリーコードを作成した時期と使用された数が確認されます。

    img recovery code enabled

3.2. 2 要素認証のリカバリーコードを使用してログインする

リカバリーコードを使用して、Red Hat アカウントにログインします。

前提条件

手順

  1. ブラウザーを使用して、Red Hat カスタマーポータル などの Red Hat サイトに移動します。
  2. メールまたは Red Hat ログインを使用してログインします。
  3. Red Hat パスワードを入力します。2 要素認証を確認するページが開き、ワンタイムコードが要求されます。
  4. Try another way をクリックします。
    リカバリーコードを選択するよう求められます。
  5. リストからリカバリーコードを入力し、Log in をクリックします。
    Red Hat アカウントの greeting ページが開きます。

3.3. 2 要素認証のリカバリーコードの削除

既存のリカバリーコードを削除できます。アカウントのリカバリーコードを削除すると、Red Hat アカウントにログインするときに、代わりにリカバリーコードを使用する ように求められません。

前提条件

手順

  1. Red Hat カスタマーポータル などの Red Hat サイトで Red Hat ユーザーアカウントにログインします。
  2. パネルの右上にあるユーザーアバターをクリックします。

    img RH login icon hilite scaled

    アカウント情報を確認できるページが開きます。

    注記

    使用するログインポータルによっては、別のアイコンが表示される場合があります。

  3. Account details をクリックします。アカウント情報を編集できるページが表示されます。
  4. Login & password をクリックします。
  5. Login & password ページで、2-factor authentication まで下にスクロールし、Manage 2-factor authentication をクリックします。Signing in ページが開きます。
  6. Recovery codes まで下にスクロールします。
  7. Remove をクリックします。

    img recovery code enabled

    リカバリーコードを削除したら、新しいセットを作成できます。

第4章 オーセンティケーターデバイスを紛失した場合の 2 要素認証の取り消し

オーセンティケーターデバイスを紛失して利用可能なリカバリーコードがない場合、または 2 要素認証を有効にしてアカウントにログインする他の方法がない場合は、Red Hat アカウントの 2 要素認証保護を取り消すことができます。Red Hat カスタマーサービス は、電話の場合はすぐに取り消します。メールの場合は 7 日後に取り消します。2 要素認証を取り消すリクエストはすべて電話で行う必要があります。メールでのリクエストやその他のオンラインでのリクエストでは、2 要素認証を取り消すことはできません。

連絡先電話番号の設定については、「アカウント情報の確認」 を参照してください。

重要

Red Hat カスタマーサービス からアカウントの電話番号への通話によるアカウント認証は、Red Hat セキュリティーチームによって承認されている唯一の方法です。2 要素認証設定を迅速に取り消すことができる方法は他にありません。このプロセスには例外はありません。

注記

パスワードのリセットは、アカウントのメールアドレスを使用してメールで行われます。メールで 2 要素認証を取り消すことはできません。また、電話でパスワードをリセットすることもできません。

4.1. 2 要素認証の即時取り消し

アカウントの 2 要素認証をすぐに取り消すには、電話で連絡を受けることができる必要があります。Red Hat カスタマーサービス は、アカウントに登録されている電話番号に電話を差し上げます。発信による確認を伴うこの 2 段階のプロセスにより、アカウントのセキュリティーが保護されます。これは、Red Hat セキュリティーチームによって承認されている唯一の方法です。電話で 2 要素認証設定を取り消すことができる方法は他にありません。

Red Hat カスタマーサービス からの折り返し電話に応じられない場合、アカウントの 2 要素認証をすぐに取り消すことはできません。

2 要素認証が取り消された後は、有効なパスワードを使用してログインできます。組織のポリシーによっては、ログイン後すぐに 2 要素認証を有効にすることが求められる場合があります。

4.2. 7 日間の待機期間後の 2 要素認証取り消し

アカウントに登録されている電話番号への通話に応答できない場合、Red Hat カスタマーサービス チームはアカウントに関連付けられたメールアドレスにメール通知を送信します。このメールは、2 要素認証が 7 日後に取り消されることをアカウント所有者に通知します。2 要素認証を取り消す必要がない場合は、通知メールに返信できます。

法律上の通知

Copyright © 2023 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.