多要素認証 (MFA)

概要

多要素認証 (MFA)、または 2 要素認証 (2FA) では、システムに認証するために、ユーザーが複数のタイプの確認を提示する必要があります。MFA は、ブルートフォース、クレデンシャルスタッフィング、パスワードスプレーなど、パスワード関連の攻撃の大半を防御します。

機能

  • Datadog ネイティブアカウントの MFA: MFA は、メールとパスワードを使用して Datadog に直接ログインするアカウントの、ログイン時のセキュリティレイヤーを追加するために利用できます。メールとパスワードのネイティブアカウントは、アイデンティティプロバイダーを介して管理されるアカウントよりも攻撃に対して脆弱です。
  • MFA のオプトイン: MFA はオプション機能としてエンドユーザーに提供されます。個人設定でいつでも MFA を有効にできます。
  • 認証アプリ: 時間ベースのワンタイムパスワード (TOTP) 認証をサポートする認証アプリは、MFA に使用できます。例えば、Microsoft Authenticator、Google Authenticator、Authy、Duo などがあります。

制限

  • MFA は、シングルサインオン (SSO) のみを使用しているアカウントでは使用できません。SAML および Google Auth で MFA を使用するには、アイデンティティプロバイダー (IdP) 経由で構成します。
  • MFA はすべての種類の攻撃を防御できるわけではありません。例えば、攻撃者があなたのメールにアクセスできる場合、MFA をオフにし、あなたのアカウントを侵害できる可能性があります。
  • MFA がサポートする認証アプリは 1 つまでです。

前提条件

アカウントに MFA を構成するには、メールとパスワードを使用してログインします。SSO を使用してログインしたユーザーには、MFA 構成オプションは表示されません

ユーザーアカウントに MFA を構成する

Password & Authentication ページを見つけるには

  1. SSO ではなく、ユーザー名とパスワードの組み合わせでログインしていることを確認します。
  2. アカウントメニューから、Personal Settings に移動します。
  3. Security で、Password & Authentication を選択します。

多要素認証セクションには、構成されている認証アプリが一覧表示されます。

  1. Authenticator App の横にある Add を選択します。
  2. 新しい QR コードを追加する手順については、認証アプリのドキュメントに従ってください。
  3. 認証アプリが生成した最新のコードをプロンプトに入力し、デバイスが正しくセットアップされたことを確認します。
  4. リカバリーコードのコピーは安全な場所に保存してください。セットアップ完了後、コードを取得することはできません。

ユーザーの MFA ステータスを確認する

ユーザが MFA を設定しているかどうかを確認するには、Users テーブルでフィルタリングします。MFA ステータスは、ユーザー詳細パネルでも確認できます。

ユーザー詳細ページに MFA ステータスが表示され、この例ではユーザーが MFA を設定していることを示している

MFA のリカバリー

認証アプリにアクセスできない場合は、ログインプロセス中にワンタイムパスワードの代わりにリカバリーコードを使用できます。各リカバリーコードは 1 回のみ使用できます。

  1. ログインページに移動します。
  2. メールアドレスとパスワードを入力し、Log in を選択します。
  3. Don’t have access to your authenticator? を選択します。
  4. 未使用のリカバリーコードのいずれかを入力し、Verify をクリックします。

MFA の救済

認証アプリやリカバリーコードにアクセスできない場合は、ログインプロセス中にメールでワンタイムリカバリーリンクをリクエストできます。

  1. ログインページに移動します。
  2. メールアドレスとパスワードを入力し、Log in を選択します。
  3. Don’t have access to your authenticator? を選択します。
  4. Don’t have access to your recovery codes? Get a one time recovery link via email を選択します。
  5. “Recovery link for logging into your Datadog account” という件名のメッセージがメールの受信トレイに届くので確認します。
  6. Log in to Datadog リンクを選択して、アカウントへのログインを完了します。

登録した認証アプリにアクセスできなくなった場合は、紛失したデバイスを削除し、新しいデバイスを追加することを Datadog は推奨します。有効な認証アプリを維持することで、将来アカウントにログインする際の問題を防ぐことができます。