二段階認証(MFA)の設定
二段階認証(MFA: Multi-Factor Authentication)は、パスワードに加えて認証アプリが生成する6桁のワンタイムコードでログインする仕組みです。パスワードが万が一漏洩しても、第三者によるアカウント不正利用を防ぎます。
本機能は特定のエンタープライズユーザー専用です。
一般ユーザーには適用されません。所属企業のセキュリティ要件に基づき、R.Design 側のバックエンドで個別に設定を行った場合のみ有効になります。ご自身のアカウントで MFA を有効化したい・したくないというご要望にはお応えできません。
設定後、対象ユーザーは次回ログイン時に「モバイル・オーセンティケーターのセットアップ」画面が表示されますので、本ガイドに従って設定してください。
1. 認証アプリの準備
MFAを利用するには、スマートフォンに TOTP(Time-based One-Time Password) に対応した認証アプリをインストールします。以下のいずれかをおすすめします。
| アプリ | 特徴 | ダウンロード |
|---|---|---|
| Google Authenticator | 最も広く使われている。シンプルで使いやすい | iOS / Android |
| Microsoft Authenticator | 法人利用に多い。クラウドバックアップ対応 | iOS / Android |
| Authy | 複数デバイス同期対応。機種変更が簡単 | 公式サイト |
| 1Password / Bitwarden | パスワードマネージャー内蔵のTOTP機能 | 各公式サイト |
| FreeOTP | オープンソース | iOS / Android |
推奨: 初めての方は Google Authenticator または Microsoft Authenticator がおすすめです。FreeOTPはKeycloakの画面で最初に表示されますが、知名度・サポートの観点からGoogle/Microsoftを推奨します。
Microsoft Authenticator を使う場合の注意点 ⚠️
Microsoft Authenticator で QR コードをスキャンすると、「Microsoft アカウントを登録しますか?」という案内が表示される場合があります。これは Keycloak の TOTP ではなく、Microsoft 純正のアカウント連携モードを起動しようとしているため、そのまま進むと登録に失敗します。
正しい手順:
- Microsoft Authenticator アプリで「アカウントを追加」をタップ
- 「Microsoft アカウント」や「職場または学校アカウント」ではなく、「その他のアカウント(Google、Facebook など)」 を選択
- その後に QR コードをスキャン
これで標準の TOTP として正しく登録されます。
2. 初回設定の手順
初めてMFA対象になったユーザーは、次回ログイン時に以下の画面が表示されます。
手順
- ID・パスワードを入力してログイン
- 「モバイル・オーセンティケーターのセットアップ」画面が表示されます
- スマートフォンで認証アプリを開き、QRコードをスキャン
- アプリに6桁のコードが表示されます
- 画面下部の「ワンタイムコード」欄に6桁のコードを入力
- 「デバイス名」欄に分かりやすい名前を入力(例:
iPhone-my)- 複数端末で利用する場合の識別に使います
- 「送信」ボタンをクリック
- ログインが完了します
QRコードをスキャンできない場合
画面の「スキャンできませんか?」リンクをクリックすると、手動入力用の文字列が表示されます。認証アプリで「手動で入力」を選び、この文字列を入力してください。
3. 2回目以降のログイン
初回設定以降は、以下の流れでログインします。
- ID・パスワードを入力
- 認証アプリを開き、6桁のコードを確認
- コードを入力してログイン完了
コードは30秒ごとに更新されます。入力中に切り替わった場合は、新しいコードを入力してください。
4. 設定の管理(Account Console)
MFAの設定は、Account Consoleで確認・変更できます。
アクセス方法
以下のURLにアクセスしてください:
https://auth.r.design/auth/realms/r.design/account/#/security/signingin「Two-Factor Authentication(二段階認証)」セクションの「Authenticator Application」で、以下の操作ができます。
| 操作 | 用途 |
|---|---|
| Update(更新) | 既存設定を上書きして新しいデバイスに登録し直す(機種変更時) |
| Remove(削除) | TOTPの登録を削除する |
Remove(削除)しても、企業のセキュリティ要件でMFAが必須の場合、次回ログイン時に再度QRコード画面が表示されます。これは意図的な設計で、ユーザーが誤って削除してもMFAが外れないようになっています。完全に解除したい場合は管理者にご連絡ください。
5. よくある質問
Q. 6桁のコードを入力しても「コードが正しくない」と表示されます
最も多い原因: スマートフォンの時刻ずれ
TOTPは時刻ベースで動作するため、スマートフォンの時刻が数秒以上ずれているとコードが合いません。
対処法:
- スマートフォンの時刻設定を「自動設定」にする
- Google Authenticator の場合: アプリ右上のメニュー → 「設定」→「時刻の補正」→「今すぐ同期」
Q. 機種変更する予定です
手順:
- 古いデバイスを使える間に、Account Console(上記URL)にアクセス
Authenticator Applicationの Update をクリック- 新しいデバイスの認証アプリでQRコードをスキャン
- 新しいコードで認証が通ることを確認
古いデバイスが既に使えない場合は、管理者に連絡してTOTPをリセットしてもらう必要があります。
Q. スマートフォンを紛失しました
管理者にご連絡ください。TOTPをリセットしてもらい、新しいデバイスで再設定します。
連絡先: お問い合わせ
Q. 複数のデバイスで使いたい
- Authy は複数デバイス同期に対応しています
- 1Password / Bitwarden はパスワードマネージャー経由で全デバイスで同期されます
- Google Authenticator は端末間コピー機能はありますが、複数同時利用は公式サポートされていません
Q. MFAを無効にしたいです
所属企業のセキュリティポリシーで必須とされている場合、ご自身では解除できません。詳細は管理者にご確認ください。