TwoFactorAuthentication

目次

はじめに

TwoFactorAuthenticationプラグインは、MTに2要素認証(2段階認証)の機能を追加することで、セキュリティを強化し、アカウントの不正使用を防止することができます。

2要素認証を有効にすると、通常のユーザ名/パスワードによるログインの後、確認コードの入力が求められるようになります。Google Authenticator等のスマートフォン上のアプリケーションが生成する、1度限り有効の確認コードを入力しなければ、ログインが完了しません。つまり、知っている情報(ユーザ名/パスワード)と、持っている情報(スマートフォン)がそろわなければログインできない、ということになります。

その他、スマートフォンにアクセスできない、あるいは紛失した場合でも、一時的にログインできるよう、リカバリーコードを生成する機能も提供しています。

対応バージョン

  • Movable Type 6.2 / 6.3

インストール

プラグインのアーカイブファイルを展開すると、以下のディレクトリが作成されます。

TwoFactorAuthentication
├── docs
└── plugins
    ├── DisableTwoFactorAuthentication
    │   └── DisableTwoFactorAuthentication.pl
    └── TwoFactorAuthentication
        ├── TwoFactorAuthentication.pl
        ├── extlib
        ├── lib
        └── tmpl

「TwoFactorAuthentication/plugins/TwoFactorAuthentication」ディレクトリをMTのプラグインディレクトリへコピーしてください。

注意: 「DisableTwoFactorAuthentication」ディレクトリはコピーしないでください。こちらはログインできないなどの非常時に、一時的にプラグインを無効にするためのプラグインです。

プラグイン設定画面にTwoFactorAuthenticationが表示されていれば、インストールは完了です。

使い方

以下の手順で設定を行います。

  1. スマートフォンに認証アプリをインストールする。
  2. プラグイン設定を行う。
  3. 2要素認証を有効にする。
  4. ログインする。

その他必要に応じて以下も行ってください。

  • 2要素認証を無効にする。
  • リカバリーコードを表示する。
  • リカバリーコードを再度生成する。

スマートフォンに認証アプリをインストールする

お使いのスマートフォンに、認証アプリがインストールされていない場合は、この先の手順に進む前にインストールしておいてください。以降の手順では、Google Authenticator (iOS版 / Android版)を例に説明しますが、他の認証アプリをお使いの場合は、適宜読み替えて設定してください。

プラグイン設定を行う

システムプラグイン設定画面を開きます。

「有効」にチェックを付けます。

「サイト名」には、デフォルトでMTが稼働しているホスト名が表示されています。この項目は、スマートフォン上で設定する認証アプリに表示される名称で、プラグイン自体の動作には影響しませんので、分かりやすい名称に変更することをおすすめします。

「変更を保存」します。

2要素認証を有効にする

MTにログインし、画面右上のユーザ名をクリックし、ユーザ情報の編集画面を開きます。

画面中ほどにある、2要素認証のステータスが無効になっていますので、「2要素認証を有効にする」リンクをクリックします。

ダイアログが開きますので、表示されたQRコードを認証アプリでスキャンするか、シークレットコードを直接入力して、認証アプリに登録します。

認証アプリが確認コードを生成するので、それを入力し、有効ボタンを押します。

2段階認証が有効になると、リカバリーコードが表示されますので、安全な場所に保存してください。リカバリーコードは、スマートフォンを紛失したり、スマートフォンなしでログインする必要がある場合に使用します。

閉じるボタンを押して、ユーザ情報の編集画面に戻ります。

ログインする

ログインする場合は、通常通りユーザ名/パスワードを入力します。

ユーザ名/パスワードが正しい場合、続いて確認コードの入力が求められます。

スマートフォンの認証アプリで生成した6けたの確認コードを入力してください。あいだのスペースは入力してもしなくてもかまいません。

スマートフォンの紛失など、認証アプリにアクセスできない場合は、確認コードの代わりにリカバリーコードを入力してもログインが可能です。

1度使用したリカバリーコードは、再使用できません。全てのリカバリーコードを使い切った場合は、リカバリーコードを再度生成してください。

2要素認証を無効にする

2要素認証を利用しない場合は、「2要素認証を無効にする」リンクをクリックしてください。

無効にするかどうかの確認のアラートが表示されますので、OKをクリックします。

2要素認証が無効になります。

リカバリーコードを表示する

リカバリーコードを表示する場合は、「リカバリーコードを表示する」リンクをクリックします。

ダイアログが開き、リカバリーコードが表示されますので、安全な場所に保管してください。

一度使用したリカバリーコードは打ち消し線が入ります。全てのリカバリーコードを使い切った場合は、再度生成してください。

リカバリーコードを再度生成する

リカバリーコードを再度生成するには、リカバリーコードを表示した後、「新しいリカバリーコードを生成する」ボタンを押してください。

新しいリカバリーコードが生成されますので、安全な場所に保管してください。

確認コードが受け付けられずログインできない場合の対応

以下の方法で対処してください。

  • 正しい確認コードを入力してもログインできない場合は、サーバとスマートフォンの時刻がずれていないか確認してください。
  • リカバリーコードがある場合は、それを使用してログインしてください。
  • それでもログインできない場合、システム管理者であれば、他のユーザの2要素認証を無効にすることができますので、一度無効にしてから、ログインしてください。
  • システム管理者がログインできない場合は、同梱のDisableTwoFactorAuthenticationプラグインをインストールすると、一時的に2要素認証を無効にすることができますので、この状態でログインし、管理者の2要素認証を無効にして復旧してください。 復旧後、DisableTwoFactorAuthenticationプラグインを削除してください。
  • 上記を実施してもなおログインできない場合は、プラグインを削除してください。

プラグインのアンインストール方法

プラグインをアンストールする場合は、システムプラグイン設定で「初期化」ボタンを押して、全ての設定を削除してから、プラグインファイルを削除してください。

初期化せずにプラグインファイルを削除した場合、後でプラグインを再インストールした際に、以前の設定が残っているため、ログインできないなどの不具合を引き起こす可能性がありますので、ご注意ください。

更新履歴

  • [2017-12-20 v1.00]
    • 最初のリリース

このプラグインの利用、及び著作権や保証について

このプラグインの著作権はカーリーブラケット株式会社が所有しています。著作権者の許可なく本プラグインを使用、改変、再配布することはできません。

連絡先

作者:カーリーブラケット株式会社