MFAの強制
Zero Trustポリシーを使用すると、特定の種類の多要素認証(MFA)メソッドを使用して特定のアプリケーションにログインするようユーザーに要求できます。たとえば、物理的なハードキーで認証した場合にのみ、ユーザーが特定のアプリケーションにアクセスできるようにするルールを作成できます。
この機能は、次のアイデンティティプロバイダーを使用している場合にのみ利用可能です:
- Okta
- Azure AD
- OpenID Connect (OIDC)
- SAML
アプリケーションにMFA要件を強制するには:
-
Zero Trustで、Access > Applicationsに移動します。
-
MFAを強制したいアプリケーションを見つけて、Editを選択します。あるいは、新しいアプリケーションを作成します。
-
アプリケーションのRulesセクションに移動します。
-
アプリケーションにすでにアイデンティティ要件を含むルールがある場合は、それを見つけてEditを選択します。
ルールには、アイデンティティを定義するIncludeルールが含まれている必要があります。たとえば、Includeルールは、ユーザーがユーザーグループ、メールドメイン、またはアイデンティティプロバイダーグループの一部であることを許可する必要があります。
-
ルールにRequireアクションを追加します。
-
Authentication Methodを選択し、
mfa - multiple-factor authenticationを選択します。 -
ルールを保存します。
ユーザーがアイデンティティプロバイダーで認証すると、アイデンティティプロバイダーはそのユーザー名をCloudflare Accessと共有します。Cloudflare Accessは、その値をユーザーのために生成されたJSON Web Token (JWT)に書き込みます。
特定のアイデンティティプロバイダーは、ユーザーがログインするために提示した多要素認証(MFA)メソッドも共有できます。Cloudflare Accessは、これらの値をJWTに追加し、強制することができます。たとえば、ユーザーがパスワードと物理的なハードキーで認証した場合、アイデンティティプロバイダーはCloudflare Accessに確認を送信できます。
Cloudflare Accessは、そのメソッドをユーザーに発行された同じJWTに保存します。
Cloudflare Accessは、認証メソッドを定義するためにRFC 8176 ↗を遵守します。