ログインポリシーのログイン条件について
以下の要素ごとに認証方式を設定できます。
認証方式は信頼するネットワーク内及びネットワーク外のそれぞれに設定できます。
| 項目 | 内容 |
|---|---|
| 第1要素 | 最初の認証方式を選択します |
| 第2要素 | 第1要素での認証が成功した後の認証方式を選択します |
| 第3要素 | 第2要素での認証が成功した後の認証方式を選択します |
【参考】
第1要素もしくは第2要素で複数の認証方式を選択した場合、どの認証方式でログインするかはユーザが選択できます。
詳しくは「IIJ IDサービス オンラインマニュアル[利用者用]」の「認証方式を選択する」をご覧ください。
ログイン条件で選択できる認証方式は、以下の通りです。
| 項目 | 内容 | 備考 |
|---|---|---|
| FIDO2 | FIDO2対応デバイス(Security Key by YubicoなどのセキュリティキーやWindows Helloなど)を利用して認証します | 多要素認証オプションの契約が必要です |
| パスワード | IIJ IDに登録されたパスワードで認証します 第1要素にのみ設定できます | |
| 外部IDプロバイダ(外部IdP) | 外部のIDプロバイダにて認証します 第1要素にのみ設定できます | 外部サービス連携オプションまたは統合Windows認証の契約が必要です |
| メールワンタイムパスワード(メールOTP) | 通知先メールアドレスに届くワンタイムパスワードで認証します | 多要素認証オプションの契約が必要です |
| デバイス証明書 | デバイス証明書のキーペア(証明書と秘密鍵)で認証します | 多要素認証オプションの契約が必要です |
| SmartKey | IIJ SmartKeyアプリを利用して認証します 第2要素にのみ設定できます | 多要素認証オプションの契約が必要です |
FIDO2を認証方式に設定した場合、追加で以下を設定できます。
| 項目 | 内容 | 備考 |
|---|---|---|
| ログイン時にセキュリティキーの登録を許可する | FIDO2認証時にセキュリティキーの登録画面を表示できます(セキュリティキーの最大登録数に達している場合は表示できません) 新規ユーザの初回ログインがされるまでの間だけ有効にするなどの、一時的な利用を推奨します(長期間許可し続けると、悪意のある攻撃者のセキュリティキーが登録されてしまうなどのリスクが上がります) | 多要素認証オプションの契約が必要です |
セキュリティキーによる本人確認の機能を必須にする | セキュリティキーの本人確認機能(PIN,指紋認証など)による確認を必須とします | 多要素認証オプションの契約が必要です |
デバイス証明書を認証方式に設定した場合、追加で以下を設定できます。
| 項目 | 内容 | 備考 |
|---|---|---|
| ログイン時にデバイスの登録を許可する(IIJ IDサービスCA利用時のみ) | デバイス証明書のキーペアを持たないデバイスがログインしようとしたときに、デバイス登録画面を表示します(デバイスの最大登録数に達している場合は表示されません) | 多要素認証オプションの契約が必要です |
信頼するネットワーク外のログイン条件については、以下の項目を選択できます。
| 項目 | 内容 |
|---|---|
| ログインを許可しない | ログインを許可しません |
| ログインを許可する | いずれかの認証方式を利用してログインできます |