2 要素認証オプションを管理する
2 要素認証は、MongoDB Ops Manager アカウントの 2 番目のレイヤーを提供します。
を有効にすると、ユーザーがMongoDB Ops Manager アカウントへのアクセスを制御できるようにするために 2FA MongoDB Ops Managerが必要になります。
MongoDB Ops Manager にログインするには、ユーザーはパスワード(「知っていること」)と、認証中に配信される 2 つ目の時間区別された検証コード(「持っているもの」)を提供する必要があります。 両方の要素が必要なため、MongoDB Ops Manager はより高い確実性で認証リクエストを許可できます。
注意
Organization Ownerにより組織の多要素認証が有効になる場合、組織の全ノードは組織にアクセスするために多要素認証を個別に有効にする必要があります。 MFAが無効な組織メンバーはMongoDB Ops Managerにアクセスできますが、 MFAが必要な組織にはアクセスできません。
ユーザー名とパスワードを入力すると、6 桁の時間認証コードの入力を求められます。 このコードは、携帯電話やセキュリティ トークンなどの別のデバイスに送信され、読み取りをMongoDB Ops Managerに入力してログインを完了できます。
注意
MongoDB Ops Manager環境全体で 2 要素認証を有効または無効にするには、「 MongoDB Ops Manager の 2 要素認証のMongoDB Ops Manager 」を参照してください。
MongoDB Ops Managerは、 2FA検証コードの次のソースを提供します。
- テキスト メッセージ( SMS )
MongoDB Ops Manager で確認コードの入力を求めるプロンプトが表示されると、MongoDB Ops Manager は指定された電話番号にテキスト( SMS )を使用して6桁の確認コードを送信します。
携帯電話会社のSMS料金が適用されます。
- 自動音声通話(米国とカナダのみ)
MongoDB Ops Manager が確認コードの入力を要求すると、MongoDB Ops Manager は提供された電話番号に呼び出します。 自動システムは、ハングアップする前に、6 桁の確認コードを合計 3 回繰り返します。
セルラーの音声通話料金が適用されます。
注意
MongoDB Ops Manager移動サービスのカバレッジや信頼性が限られている地理的リージョン内で動作する ユーザーは、 SMS または音声経由で2 FA コードを受信する際に遅延が発生する可能性があります。代わりに、 2 FAアプリまたはデバイスの使用を検討してください。
MongoDB Ops Manager から検証コードの入力を求められたら、 2 FAアプリで生成された検証コードを提供できます。 最初に2FAアプリとMongoDB Ops Managerをペアにする必要があります。
このチュートリアルでは、 Google Authenticator を使用します モバイルアプリ。
2 FA機能を提供するモバイル デバイスアプリとウェブ ブラウザ プラグインは他にもあります。 TOTPをサポートする任意の を使用できます。
MongoDB Ops Managerと一度にペアにできるアプリは 1 つだけです。
MongoDB Ops Manager から検証コードの入力を求められたら、 2 FA PSVデバイスで生成された検証コードを提供できます。 最初に MongoDB Ops Manager2FA アプリを使用して、 PSV デバイス アプリと をペアにする必要があります。これらのデバイスはTOTPをサポートしている必要があります。
この手順では、YubiKey セキュリティ キー(具体的には 認証コード で機能するもの)を使用します。 。TOTP を使用する他の2 FA PSV ハードウェア デバイスも、同様の方法で動作する必要があります。
注意
情報参照のみ
MongoDB は前述のサービスをサポートしておらず、その参照は情報提供のみを目的としています。 組織の手順に従い、スマート カードまたは同様のデバイス経由で2 FAをサポートするための適切なベンダーまたはサービスを選択します。
2 要素認証の構成
MongoDB Ops Managerを Google Authenticator に追加します。
Google Authenticator を起動します。
[ ]をクリックします。
Google Authenticator アプリとMongoDB Ops Managerをペアにする方法を選択します。
モバイルデバイスまたはウェブブラウザがバーコードのスキャンをサポートしている場合は、 Scan a barcodeをクリックします。
バーコードをキャプチャするためにプロンプトが表示されたら、デバイスの監視を有効にし、 MongoDB Ops Managerページにデバイスを向けます。
モバイルデバイスまたはウェブブラウザがバーコードのスキャンをサポートしていない場合、またはキーを入力する場合は、 Enter provided keyをクリックします。
MongoDB Ops Managerには、Key を持つMongoDB Ops Manager Account が表示されます。
Google Authenticator で、 Enter provided keyをクリックし、アカウントとキーを入力します。
(Duo Mobile、Authy などのアプリでは同様のプロンプトがあります)。
バーコードがスキャンされるか、アカウントとキーが入力されると、Google Authenticator アプリはペアを確認するために6桁のコードを生成します。
確認コードを受け取したら、そのコードをVerify your codeボックスに入力します。 各数字は独自のボックスに入力されます。
MongoDB Ops Managerはコードを自動的に検証し、設定を保存します。
Yubico Authenticator をダウンロードしてインストールします。
ウェブ ブラウザから、 Yubico 認証システム をダウンロード アプリケーション。
インストーラーをダブルクリックし、プロンプトに従います。
MongoDB Ops ManagerをYubikey に追加します。
Yubico 認証システムを起動します。
ウェブ ブラウザがMongoDB Ops Manager Two-Factor Authentication モーダルで、Google Authenticator ボタンを選択していることを確認します。
Yubico Authenticator のFileメニューから、 Scan QR code...を選択します。
New credentialダイアログ ボックスで、次の設定を確認します。
オプション許容値デフォルトを維持しますか?発行者MongoDB Ops Managerの Yubico Authenticator アプリケーションで表示する名前。あなたの選択アカウント名MongoDB Ops Manager のユーザー名。はい秘密キーQR コードから生成されたトークン。はいタイプ新しいコードを生成するタイミングを決定するメソッド。はいアルゴリズムトークンが使用する暗号化アルゴリズム。はいperiod各確認コードの有効期間。はい数字確認コードの桁数。はいアクセスが必要です確認コードが受け入れられた場合、ユーザーがYubikeyの連絡先をクリックしている必要があることを示します。ユーザーの選択[Save credential] をクリックします。
確認コードは、Yubico Authenticator の でMongoDB Ops Managerに Issuer として付与した見出しの下に表示されます。
確認コードを受け取したら、そのコードをVerify your codeボックスに入力します。 各数字は独自のボックスに入力されます。
注意
Yubico Authenticator アプリケーションからコードをコピーできます。 Issuerに付けた名前をクリックし、 EditメニューからCopy to Clipboardを選択します。
MongoDB Ops Managerはコードを自動的に検証し、設定を保存します。
共有アカウントにおける 2 要素認証
同じ MongoDB Ops Manager アカウントを共有するグローバル チームは、Google Authenticator を使用し、すべてのチーム メンバーに同じシード コードを使用できます。 チーム全体が使用できる共通のシードコードを生成するには、Google Authenticator で 2 要素認証を構成するときにCan't scan the barcode?リンクを選択します。
新しいリカバリ コードの生成
バックアップとして、電話、 2FAアプリ、または2FAデバイスにアクセスできない場合に、送信されたコードの代わりに使用するリカバリ コードを生成できます。 各リカバリ コードは 1 回限り使用するため、これらのコードは安全な場所に保存する必要があります。 新しいリカバリコードを生成するときは、以前に生成したリカバリコードを無効にします。
レガシー2要素認証をリセットする
レガシー2FAを有効にしており、 2FAデバイスへのアクセスを失った場合は、 アカウントの2FAをリセットできます。
ユーザー名とパスワードを使用して MongoDB Ops Manager にログインします。
2FAプロンプトが表示されると、次のようになります。
Reset your two-factor authenticationリンクをクリックします。
Reset Two Factor Authenticationモーダルの下部にあるOps Manager user? Click hereをクリックします。
MongoDB Ops Manager のユーザー名を入力します。
[Reset Two Factor Authentication] をクリックします。
MongoDB Ops Manager は、MongoDB Ops Manager ユーザー名に関連付けられたメールアカウントへのリンクをメールします。
メールを確認します。
MongoDB Ops Managerが送信したリンクをクリックして、 2FAリセット手順を開始します。
2FAリセット ページの指示に従います。 リセット手順が完了すると、MongoDB Ops Manager によって、MongoDB Ops Manager 2FA コードなしで アカウントにログインできるようになります。