ログインポリシーのログイン条件について

以下の要素ごとに認証方式を設定できます。

認証方式は信頼するネットワーク内及びネットワーク外のそれぞれに設定できます。

項目内容
第1要素最初の認証方式を選択します
第2要素

第1要素での認証が成功した後の認証方式を選択します
選択しない場合、第1要素の認証のみでログインに成功します

第3要素

第2要素での認証が成功した後の認証方式を選択します
選択しない場合、第2要素の認証が終わるとログインに成功します

【参考】

第1要素もしくは第2要素で複数の認証方式を選択した場合、どの認証方式でログインするかはユーザが選択できます。
詳しくは「IIJ IDサービス オンラインマニュアル[利用者用]」の「認証方式を選択する」をご覧ください。

ログイン条件で選択できる認証方式は、以下の通りです。

項目内容備考
FIDO2

FIDO2対応デバイス(Security Key by YubicoなどのセキュリティキーやWindows Helloなど)を利用して認証します
第1要素または第2要素に設定できます

多要素認証オプションの契約が必要です
パスワードIIJ IDに登録されたパスワードで認証します
第1要素にのみ設定できます

外部IDプロバイダ(外部IdP)外部のIDプロバイダにて認証します

第1要素にのみ設定できます
また外部IDプロバイダ認証を設定した場合、第1要素にほかの認証方式を設定することはできません

外部サービス連携オプションまたは統合Windows認証の契約が必要です
また、外部IDプロバイダの登録が必要です。詳しくは「外部IDプロバイダを追加する」をご覧ください

メールワンタイムパスワード(メールOTP)

通知先メールアドレスに届くワンタイムパスワードで認証します
第1要素または第2要素に設定できます

多要素認証オプションの契約が必要です
デバイス証明書

デバイス証明書のキーペア(証明書と秘密鍵)で認証します
第2要素または第3要素に設定できます

多要素認証オプションの契約が必要です
SmartKeyIIJ SmartKeyアプリを利用して認証します
第2要素にのみ設定できます
多要素認証オプションの契約が必要です

FIDO2を認証方式に設定した場合、追加で以下を設定できます。

項目内容備考
ログイン時にセキュリティキーの登録を許可するFIDO2認証時にセキュリティキーの登録画面を表示できます(セキュリティキーの最大登録数に達している場合は表示できません)
新規ユーザの初回ログインがされるまでの間だけ有効にするなどの、一時的な利用を推奨します(長期間許可し続けると、悪意のある攻撃者のセキュリティキーが登録されてしまうなどのリスクが上がります)
多要素認証オプションの契約が必要です

セキュリティキーによる本人確認の機能を必須にする

セキュリティキーの本人確認機能(PIN,指紋認証など)による確認を必須とします
本人確認機能に非対応のセキュリティキーは利用できなくなります

多要素認証オプションの契約が必要です

デバイス証明書を認証方式に設定した場合、追加で以下を設定できます。

項目内容備考
ログイン時にデバイスの登録を許可する(IIJ IDサービスCA利用時のみ)

デバイス証明書のキーペアを持たないデバイスがログインしようとしたときに、デバイス登録画面を表示します(デバイスの最大登録数に達している場合は表示されません)
新規ユーザの初回ログインがされるまでの間だけ有効にするなどの、一時的な利用を推奨します(長期間許可し続けると、悪意のある攻撃者のデバイスが登録されてしまうなどのリスクが上がります)

多要素認証オプションの契約が必要です

信頼するネットワーク外のログイン条件については、以下の項目を選択できます。

項目内容
ログインを許可しない

ログインを許可しません
「ログインを許可しない」を選択した場合、認証方式は設定できません

ログインを許可する

いずれかの認証方式を利用してログインできます
ログインを許可する場合は、認証方式の設定が必要です