Alibaba Cloud のコンソールログインでは MFA を有効にしています。2要素認証として Google 認証システムを利用しています。 先日、Android スマートフォンを Galaxy Note から Xperia に変更しました。 今回、機種変更後の再設定の手順を記録に残します。 内容としては Google 認証システム標準機能によるアカウント移行の手順と Google 認証システムを再設定する手順の2つの記録となります。
実施する手順の流れは以下の通り。
- 新しい Android スマートフォンに Google 認証システムを準備
- Google 認証アプリのアカウントの移行
- Alibaba Cloud へのログインテスト
目次
Android スマートフォンに Google 認証システムを準備
新しい Xperia には以前の Galaxy Note でログインしていた Google アカウントを継続して利用しています。その結果として Google 認証システム アプリのインストールまではすでに行われています。 ただし、設定は引き継がれないため新規インストールした後の状態となっています。
Google 認証アプリのアカウントの移行
Google 認証アプリのアカウント移行を行います。 前提条件として、新旧両方の Google 認証アプリを操作できる必要があります。 古い端末を紛失した、故障したなどの場合はここで案内する手順は利用出来ません。
まず、新しいスマートフォンで Google 認証アプリを起動し、右上の設定メニューからアカウントを移行を実行します。
以下の画面になるので、アカウントのインポートをクリックします。
以下の案内に従い、古いスマートフォンで Google 認証システムを起動し、アカウント移行からエクスポートを進めQRコードを表示させます。
新しいスマートフォンの Google 認証システムアプリで QR コードをスキャンをクリックします。
ここからの操作はセキュリティ上禁止されているということでスマートフォンのスクリーンショットを取得できなかったので文字だけで説明します。
上記のQRコードでスキャンから古いスマートフォンのQRコードを読み取ることで、Google 認証システムのアカウント情報を移行できます。 あっという間におわる簡単な操作です。
Alibaba Cloud へのログインテスト
まずは ID / Password で Sing in を行います。
新しいスマートフォンの Google 認証システムから確認した文字列を入力します。
問題無くログインすることが出来ました。
Google 認証システムを再設定する場合
古いスマートフォンを紛失した、故障したなどで今回紹介した Google 認証システム標準機能によるアカウント移行が行えない場合ですが、再設定するしかありません。
以下の手順の前に新しいスマートフォンのGoogle 認証システムに登録されている Alibaba Cloud コンソールログイン用のアカウントを削除します。(これは今回のテストのためだけの操作です。疑似的に、古い環境から移行していない状態を想定しているためです)
まずは Alibaba Cloud コンソールにログインします。 いつも通り ID / Password を登録します。
ここで Google 認証システムの連携が必要になりますが、今回は利用出来ない想定です。 Try a different verification method をクリックします。
電話による認証 を選択します。 Verify now をクリックします。
Get code をクリックします。 SMSで送付されてくる数字を入力し、Submit を実行します。
Alibaba Cloudのコンソールにログインすることが出来ました。
Google 認証システムの連携を再設定します。 Account Protection の Edit をクリックします。
Google 認証システムの連携ですが、一度、TOTP Verification をOFFにし、それからONにする必要があります。
途中で SMS によるコード認証を求められるので対応します。
OFFになったので、再度、ONにします。 TOTP Verification の Turn on をクリックします。
画面は省略しますがSMSのコード認証を行い、Google 認証システムアプリの準備の案内が以下です。 まだ、スマートフォンに Goolge 認証システムアプリを未インストールの場合はインストールして次に進みます。
ここでスマートフォン側で Google 認証システムアプリを起動し、追加から QR コードをスキャンを実行し、Alibaba Cloud コンソール上の QR コードを読み取ります。 その後、Google 認証システムのコードを入力します。
問題無く成功すると以下のメッセージが表示されます。 (The account protection has been successfully set)
TOTP の設定時には SMS 認証が必須となっているので、仮にTOTP (Google 認証システム)が利用出来ない状態になっても上記の通り再設定は可能です。 と、書いていて思ったのはスマートフォンを紛失して、なおかつ、今すぐに Alibaba Cloud コンソールにログインしたい場合、今回のようにSMSを受けるスマートフォンと Google 認証システムアプリをインストールするスマートフォンが同一の場合は Alibaba Cloud コンソールにログインは出来なくなります。 このような場面を想定して、RAMアカウントで異なるスマートフォンに紐づけた MFA の構成が必要です。 業務システムでは当たり前かもしれませんが、マスターアカウントが利用不能になった場面を想定してその準備をしておくということになります。
以上
