IBM Cloud コンソール(ダッシュボード)へのログインを(ID とパスワードでの認証に加えて)多要素認証化する手順を確認できたので紹介します。
なお、ログインを多要素認証化するには組織オーナー権限が必要です。自分がオーナーである自分自身の組織に対しては設定可能ですが、他の組織に対する権限があるかどうかは別途設定が必要なためご注意ください。
多要素認証を有効にするには、まず通常のログイン後に自分の組織を選択した上で、画面上部のメニューから「管理」ー「アクセス(IAM)」を選択します:
画面左のメニューから「設定」を選択し、「多要素認証(MFA)」と書かれた欄にある「編集」ボタンをクリックします:
多要素認証の設定を選択します。ここではスマートフォンの各種認証アプリを使ったワンタイム・パスコードによる認証を設定してみましょう。「すべてのユーザー用の MFA」を選択し、メソッドに「TOTP MFA」を指定して「更新」ボタンをクリックします。これでログイン方法を多要素認証にするためのダッシュボードでの作業ができました:
引き続き、認証アプリ側の設定を行います。いったん IBM Cloud からログアウトして少し(5分程度)待ってから再ログインします:
多要素認証が有効になっている場合、パスワードの指定画面が少し変わります(黒い背景の画面ではないページでのパスワード入力画面になっています):
多要素認証が有効になっている場合、初回ログイン時に認証アプリのセットアップを促す以下のような画面になります。「開始」ボタンをクリックします:
多要素認証をアプリにセットアップするには SMS / メール / 音声電話 の3つの中の2つで検証を行う必要があります。自由に2つ選択いただいて構いませんが、以下の例では (1) SMS と (2) メールの2つで検証する手順として紹介します。 まずは検証方法で SMS を選択し、SMS を受け取ることのできる携帯電話番号を +81 から入力して「送信」します。すると指定した番号の携帯電話にワンタイムパスワードが記された SMS が届くので、そこに書かれた内容を入力して「完了」ボタンをクリックします:
続けて2つ目の検証を行います。今回は「Eメール」を選択し、メールを受け取ることのできるメールアドレスを入力して「送信」します。同様に指定したアドレスにワンタイムパスワードが記載されたメールが届くので、そこに書かれた内容を入力して「完了」ボタンをクリックします:
2種類の認証が完了すると、認証アプリに IBM Cloud を登録することができるようになります。Google Authenticator や IBM Security Verify などの各種認証アプリをスマホにインストールした上で、認証要素として「TOTP」を選びます。するとアプリで読み取る QR コードが表示されるので、この QR コードを認証アプリで読み取ります(または共有シークレットを認証アプリに入力します)。すると認証アプリに6桁の検証コードが表示されるので、そのコードを画面内に入力して「完了」をクリックします:
すると以下のような画面になり、IBM Cloud 多要素認証の認証アプリへのセットアップが完了しました:
スマホの認証アプリ側にも IBM Cloud が登録(追加)されているはずです:
では改めて多要素認証が有効になった IBM Cloud にログインしてみます。まずは https://cloud.ibm.com/ で IBM ID を入力します:
続けてログインパスワードを入力します。これまでの設定であれば、これでログイン作業は完了ですが・・・:
多要素認証が有効になっていると、続けて設定した認証アプリによるワンタイムパスワード認証が必要です。認証アプリに表示されている6桁の検証コードを(有効なうちに)入力して「検証」をクリックします:
ここまでの手順がすべて正しく入力できていれば、IBM Cloud ダッシュボードにログインできます。ダッシュボードへの多要素認証ログインが有効になりました:
なお IBM Cloud への多要素認証を有効にした場合、CLI でのログイン時には SSO オプションを指定する必要があります:
このオプションを指定すると指定した URL からワンタイムパスワードを取得して入力するよう指示されます。指示通りの URL を参照してワンタイムパスワードを入手して入力することでログインできます:
詳しい内容や手順についてはオンラインドキュメントも参照ください:
https://cloud.ibm.com/docs/account?topic=account-enablemfa
なお、ログインを多要素認証化するには組織オーナー権限が必要です。自分がオーナーである自分自身の組織に対しては設定可能ですが、他の組織に対する権限があるかどうかは別途設定が必要なためご注意ください。
多要素認証を有効にするには、まず通常のログイン後に自分の組織を選択した上で、画面上部のメニューから「管理」ー「アクセス(IAM)」を選択します:
画面左のメニューから「設定」を選択し、「多要素認証(MFA)」と書かれた欄にある「編集」ボタンをクリックします:
多要素認証の設定を選択します。ここではスマートフォンの各種認証アプリを使ったワンタイム・パスコードによる認証を設定してみましょう。「すべてのユーザー用の MFA」を選択し、メソッドに「TOTP MFA」を指定して「更新」ボタンをクリックします。これでログイン方法を多要素認証にするためのダッシュボードでの作業ができました:
引き続き、認証アプリ側の設定を行います。いったん IBM Cloud からログアウトして少し(5分程度)待ってから再ログインします:
多要素認証が有効になっている場合、パスワードの指定画面が少し変わります(黒い背景の画面ではないページでのパスワード入力画面になっています):
多要素認証が有効になっている場合、初回ログイン時に認証アプリのセットアップを促す以下のような画面になります。「開始」ボタンをクリックします:
多要素認証をアプリにセットアップするには SMS / メール / 音声電話 の3つの中の2つで検証を行う必要があります。自由に2つ選択いただいて構いませんが、以下の例では (1) SMS と (2) メールの2つで検証する手順として紹介します。 まずは検証方法で SMS を選択し、SMS を受け取ることのできる携帯電話番号を +81 から入力して「送信」します。すると指定した番号の携帯電話にワンタイムパスワードが記された SMS が届くので、そこに書かれた内容を入力して「完了」ボタンをクリックします:
続けて2つ目の検証を行います。今回は「Eメール」を選択し、メールを受け取ることのできるメールアドレスを入力して「送信」します。同様に指定したアドレスにワンタイムパスワードが記載されたメールが届くので、そこに書かれた内容を入力して「完了」ボタンをクリックします:
2種類の認証が完了すると、認証アプリに IBM Cloud を登録することができるようになります。Google Authenticator や IBM Security Verify などの各種認証アプリをスマホにインストールした上で、認証要素として「TOTP」を選びます。するとアプリで読み取る QR コードが表示されるので、この QR コードを認証アプリで読み取ります(または共有シークレットを認証アプリに入力します)。すると認証アプリに6桁の検証コードが表示されるので、そのコードを画面内に入力して「完了」をクリックします:
すると以下のような画面になり、IBM Cloud 多要素認証の認証アプリへのセットアップが完了しました:
スマホの認証アプリ側にも IBM Cloud が登録(追加)されているはずです:
では改めて多要素認証が有効になった IBM Cloud にログインしてみます。まずは https://cloud.ibm.com/ で IBM ID を入力します:
続けてログインパスワードを入力します。これまでの設定であれば、これでログイン作業は完了ですが・・・:
多要素認証が有効になっていると、続けて設定した認証アプリによるワンタイムパスワード認証が必要です。認証アプリに表示されている6桁の検証コードを(有効なうちに)入力して「検証」をクリックします:
ここまでの手順がすべて正しく入力できていれば、IBM Cloud ダッシュボードにログインできます。ダッシュボードへの多要素認証ログインが有効になりました:
なお IBM Cloud への多要素認証を有効にした場合、CLI でのログイン時には SSO オプションを指定する必要があります:
$ ibmcloud login -u username@test.com --sso
このオプションを指定すると指定した URL からワンタイムパスワードを取得して入力するよう指示されます。指示通りの URL を参照してワンタイムパスワードを入手して入力することでログインできます:
$ ibmcloud login -u username@test.com --sso API endpoint: https://cloud.ibm.com Region: us-south Get a one-time code from https://identity-2.ap-north.iam.cloud.ibm.com/identity/passcode to proceed. Open the URL in the default browser? [Y/n] > n One-time code >
詳しい内容や手順についてはオンラインドキュメントも参照ください:
https://cloud.ibm.com/docs/account?topic=account-enablemfa