web-dev-qa-db-ja.com

複数のアカウントのMFA?

すべてのサービスでGoogleAuthenficatorを使用して2FAを有効にすることを検討しています。

しかし、今の私にとっての唯一の懸念は、ユーザーがすべてのサービスに対して専用のオーセンティケーターのアカウントを持っている必要があるということです。

  • Github
  • AWS
  • Gmail
  • ジェンキンス

たぶんもっと良いアプローチがありますか?

セルフホストのTOTPサービスを使用するようなものですか?これには、すべてのアカウント間でSSOを有効にする必要があると思いますが、SSOは現在のタスクの範囲外です。

1
setevoy

認証には多くのオープンスタンダードがあり、認証サービスをアプリケーションサービスから分離していますが、驚くべきことに、認証サービスの使用を許可するアプリケーションプロバイダーはほとんどありません。つまり、MFAソリューションを外部プロバイダーに課すことは不可能です。

ただし、これらのサービスにMFAアクセスを強制できないという意味ではありません。セッションに資格情報を挿入し、そのプロキシサービスにMFAログインを配置できるプロキシ機能を提供する必要があります。サービスのユーザーは、トークン(パスワード、sshキー、証明書、パスフレーズなど)を確認できません。これは、ほとんどの特権アクセス管理ソリューションによって提供されます。私はこれが非常に得意なCyber​​Arkを使用していますが、非常に高価でもあります。利用可能な他のオプションがありますが、それらのいずれかを実装するコストは、独自のgoogle認証サービスを展開するよりも桁違いに高くなる可能性があります。

1
symcbean