ご質問
Access Control において、特定の条件下で OTP(ワンタイムパスワード)認証を求める設定になっているにも関わらず、連携サービスへのログイン時などに OTP を求められないことがあるのはなぜですか?
回答
Access Control において、特定の条件下で OTP 認証を求める設定になっているにも関わらず、認証時に OTP がスキップされる挙動となるのは、ブラウザの Cookie が影響している可能性があります。
この記事では、OTP 認証の再入力が発生する条件と、管理者が設定できる有効期限について説明します。
OTP 認証が再入力不要になる仕組み
OTP 認証が完了すると、その認証結果はブラウザの Cookie に保存されます。
サービスの認証要求により Access Control の認証が求められた場合でも、Cookie の有効期間中は、同じブラウザであれば OTP の再入力が不要になります。
Cookie が無効化されるタイミング
以下のいずれかに該当すると、認証 Cookie は無効化され、OTP の再入力が必要になります。
- 「ログイン状態を保持する」を選択をせずに認証し、その後ブラウザを終了した場合
- ブラウザのキャッシュや Cookie をクリアした場合
- アクセス元の IPアドレス が変更された場合(例: 社内ネットワークから社外ネットワークへの切り替え)
- 認証 Cookie の有効期限が切れた場合
[認証 Cookie の有効期限]の設定
管理者は、Access Control 管理コンソールの[アクセスポリシーグループ]設定で、[認証 Cookie の有効期限]を設定できます。
この設定により、OTP 認証後に保存された Cookie が有効な期間を変更できます。
[ログイン状態を保持する]を選択した場合の挙動については以下の記事を参照してください。
[Access Control] ログイン画面の ログイン状態を保持する 機能の利用方法