IBM Cloudのコンソールへのログインに多要素認証(MFA)を適用する話。
AWSやAzureだとIAMでMFAの適用設定できるし、GCPだとGoogleアカウント自体のセキュリティ設定で同様のことができます。 ではIBM Cloudは?と一緒に仕事をしているエンジニアに聞かれたので調べたことを覚え書きします。
結論を先に言えば、コンソールのIAMの設定で有効化できます。
※ 厳密に言えばAzureはGitHubアカウントでサインインできるので、GitHubの設定でもMFAを有効化できたりします。
MFA適用ガイド
IBM Cloudのドキュメントにやり方は書いてあります。こちらに則って説明します。
やり方
(1) 上のバーの「管理」→「アクセス(IAM)」を選択
(2) アクセス(IAM)画面の左メニューから「設定」を選択
(3) 「アカウント・ログイン」のパネルの「編集」ボタンを選択
(4) 「全てのユーザー」を選択し、「更新」ボタンを押して有効化
(5) 一回ログアウト (MFAが有効になるまで5分程度かかる)
(6) IBMidで再度ログイン
(7) MFAの入力画面が出るので、「オーセンティケーター・アプリケーションをセットアップします」のリンクを押して設定用のQRコードを表示する
(8) Google AuthenticatorやIBM Verifyなどのオーセンティケーター・アプリを用意して、上記(7)のQRコードを読みこむ。1つ罠があるので後ほど説明。
(9) もう一度検証コード入力画面に戻り、(8)で設定した検証コードを入力する。これでログイン時にMFAできました🎉🎉
MFA設定リンクの罠
上記手順で注意すべきは、 手順(7)(8)はアカウントにつき1回しか設定できない点です。
「オーセンティケーター・アプリケーションをセットアップします」のリンクを2回目以上踏むと、 以下のスクショのように設定済みのエラーメッセージが出てきます。 1回リンクを踏んで「後で設定しよう」ができないので、これをやってしまうとコンソールにログイン不可能になります。
また、オーセンティケーター・アプリから設定情報を削除しても同様です。何と再設定できません。
もしやらかしたらHelp Deskに問い合わせてMFAを無効化してもらいましょう。 (私は過去2回やらかして問い合わせました)
MFAはコンソールへのログイン確認と同時に設定したい(してもらいたい)ので、手順が簡単なのはありがたいですね。 以上。
