投稿日: Oct 25, 2019
AWS Single Sign-on (AWS SSO) により、時間ベースのワンタイムパスコード (TOTP) を生成する Authy や Google Authenticator のような authenticator アプリを multi-factor authentication (MFA) を有効化し、セキュリティを高めることが可能となります。AWS SSO を設定し、ユーザーにパスワードの他に authenticator の生成した TOTP コードを入力するよう求めることができます。MFA はユーザーにサインインする際にパスワードを知っていること、そして authenticator を持っていることを要求することにより、セキュリティを向上します。
管理者は AWS SSO 管理者ポータル内で各ユーザーの TOTP authenticator を登録、削除、閲覧することができます。また、管理者は、ユーザーにユーザーポータル内で自己登録を行い登録過程を速め、ユーザー間の衝突を減らすこともできます。
また、管理者は context-aware モードを有効化し、通常のログインの場合、ユーザーにユーザーネームとパスワードでの簡単なサインインを許可し、未知のデバイスあるいは場所からといった sign-in context の変化があった場合にのみ TOTP 生成パスコードを要求することもできます。セキュリティあるいはコンプライアンス要件を増強するため、サインインする時はいつも TOTP 生成パスコードを要求する always-on モードを選択することもできます。
AWS SSO 環境内でこれらの追加セキュリティ機能を有効化する方法の詳細については AWS SSO - Multi-Factor Authentication 有効化ドキュメンテーション を参照してください。