New Relicに標準MFAが登場!設定手順とメールリンク認証の仕組み | TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
従来、New Relicで強固な認証を実現するには、OktaやAzure AD等のIdPを用いたSAML SSOの導入が必須であった。そのため、SSO環境を持たない組織や、追加コストを抑えたい環境では、パスワードのみの認証に頼らざるを得ず、アカウントのセキュリティ確保が技術的・コスト的な課題となっていた。
// Approach
New Relicの標準機能として、パスワード認証に加えてメールによる検証(Email Verification)を組み合わせたMFAを実装。管理者が認証ドメインの設定からトグルを有効化することで、対象ユーザーに対して、登録メールアドレスに送信されるログイン用リンクを用いた二要素認証を強制する仕組みを提供した。
// Result
SSO環境や追加コストを必要とせず、既存のパスワード認証ユーザーのセキュリティを大幅に向上させることが可能となった。運用面では、メールアクセス環境の確保と、メール不達やシステム障害時に備えたリカバリコードの適切な保管が、アカウントへのアクセス可用性を維持するための重要な要件となる。
Senior Engineer Insight
> セキュリティと利便性のトレードオフが顕著な機能だ。TOTP(アプリ)ではなくメールリンクを採用した点は、導入障壁を下げる一方で、メールアカウントの脆弱性がそのまま認証の脆弱性に直結するリスクを孕んでいる。大規模運用においては、メールサーバーの遅延やフィルタリングによる認証遅延が、オブザーバビリティへのアクセスを阻害する懸念がある。SSO未導入の小規模チームには極めて有用だが、ミッションクリティカルな環境では、引き続きIdPによるFIDO2等のより強固な認証基盤の検討を推奨する。