多要素認証 (MFA)

概要

多要素認証 (MFA) または二要素認証 (2FA) では、ユーザーはシステムに認証されるために、1 種類以上の認証情報を提示する必要があります。MFA は、ブルートフォース、クレデンシャルスタッフィング、パスワードスプレーなど、パスワードに関連する攻撃の大部分から防御します。

機能

  • Datadog のネイティブアカウントでの MFA: MFA は、メールアドレスとパスワードを使用して直接 Datadog にログインするアカウントのログイン時の追加のセキュリティレイヤーとして利用できます。ネイティブのメール / パスワードアカウントは、アイデンティティプロバイダー経由で管理されたアカウントよりも攻撃に対して脆弱です。
  • オプトイン MFA: MFA は、オプション機能としてエンドユーザーが利用できます。個人設定からいつでも MFA を有効にできます。
  • 認証アプリ: 時間ベースのワンタイムパスワード (TOTP) 認証をサポートする認証アプリは、MFA に使用できます。例えば、Microsoft Authenticator、Google Authenticator、Authy、Duo などがあります。

制限

  • シングルサインオン (SSO) のみを使用するアカウントでは、MFA は利用できません。SAML および Google Auth で MFA を使用するには、アイデンティティプロバイダー (IdP) を介して構成します。
  • MFA はすべてのタイプの攻撃から保護するものではありません。例えば、攻撃者があなたのメールにアクセスできる場合、MFA を無効にしてアカウントを侵害できる可能性があります。
  • MFA は、最大で 1 つの認証アプリのみをサポートします。

前提条件

アカウントに MFA を構成するには、メールとパスワードを使用してログインします。SSO を使用してログインしたユーザーには、MFA 構成オプションは表示されません

ユーザーアカウントで MFA を構成する

Password & Authentication ページを表示するには、次の手順に従います。

  1. SSO ではなく、ユーザー名とパスワードの組み合わせでログインしていることを確認してください。
  2. アカウントメニューから Personal Settings に移動します。
  3. Security の下にある Password & Authentication を選択します。

多要素認証のセクションには、構成済みの認証アプリが一覧表示されます。

  1. Authenticator App の隣にある Add を選択します。
  2. お使いの認証アプリのドキュメントを参照して、新しい QR コードを追加する手順に従ってください。
  3. 認証アプリで生成された最新のコードをプロンプトに入力し、デバイスが正しくセットアップされたことを確認します。
  4. 復旧コードのコピーを安全な場所に保存します。セットアップが完了すると、コードは取得できなくなります。

ユーザーの MFA ステータスを確認する

ユーザが MFA を設定しているかどうかを確認するには、Users テーブルでフィルタリングします。MFA ステータスは、ユーザー詳細パネルでも確認できます。

ユーザー詳細ページに MFA ステータスが表示され、この例ではユーザーが MFA を設定していることを示している

MFA の復旧

認証アプリにアクセスできない場合は、ログインプロセス中にワンタイムパスワードの代わりに復旧コードを使用できます。各復旧コードは 1 回のみ使用できます。

  1. ログインページに移動します。
  2. メールアドレスとパスワードを入力し、Log in を選択します。
  3. Don’t have access to your authenticator? (認証アプリにアクセスできない場合) を選択します。
  4. 未使用の復旧コードのいずれかを入力し、Verify をクリックします。

MFA の回復

認証アプリや復旧コードにアクセスできない場合は、ログインプロセス中に、メールでワンタイム復旧リンクをリクエストできます。

  1. ログインページに移動します。
  2. メールアドレスとパスワードを入力し、Log in を選択します。
  3. Don’t have access to your authenticator? (認証アプリにアクセスできない場合) を選択します。
  4. Don’t have access to your recovery codes? Get a one time recovery link via email. (認証アプリにアクセスできない場合、メールでワンタイム復旧リンクを取得してください) を選択します。
  5. 受信トレイに「Recovery link for logging into your Datadog account」(Datadog アカウントへのログイン用復旧リンク) という件名のメッセージが届いているか確認します。
  6. Log in to Datadog リンクを選択して、アカウントへのログインを完了します。

登録した認証アプリへのアクセスを失った場合、Datadog は失われたデバイスを削除し、新しいデバイスを追加することを推奨します。有効な認証アプリを維持することは、将来のアカウントへのログインに関する問題を防ぐのに役立ちます。