MFA認証を、期限前に自分で設定しようとすると、Email OTPが選択肢に表示されない

YamaT · ‎04-14-2025

Yokohamaにバージョンアップをして、MFA認証が必須になりましたので、設定をしております。

「Configure Multi-factor Authentication」画面（以下の②）で、Email OTPが表示されないため、表示されるようにしたいです。

※ユーザーには基本的に「Email OTP」を使ってもらう予定です（Emailを強制するわけではないです）。

【詳細】

以下２パターンで、MFA認証設定時に選択できるOTPの種類に違いがありました。

①期限切れにより、強制的にMFA認証設定を行う場合

②自分の意志で、事前にMFA認証設定をする場合

①「glide.authenticate.multifactor.self_enrolment_period」を0にした場合。

ログイン後、即時MFA認証設定が求められる（強制）。

選択肢にEmailが存在する。

②「glide.authenticate.multifactor.self_enrolment_period」を30にした場合。

ログイン後、MFA認証設定するように促すメッセージが表示される。

「ユーザプロファイル」画面を開き、「マルチファクター認証を構成する」リンクを押下する。

「Email OTP」が選択肢に表示されない。

※上記画像はPortal画面ですが、標準UI画面で、Adminユーザが自分でMFA設定しようとした際も、同じ選択肢のみ表示されます。

どうすれば②の場合でも、Email OTPを選択されるようになるでしょうか？

みなさまのお知恵をお借りしたく、どうぞよろしくお願いいたします。

【補足】

・MFA Context > [MFA Factor Policies]タブには、「Email」設定済み。

・System Properties「glide.authenticate.multifactor.email.otp.enabled」は、true 設定済み。

takagiko · ‎04-18-2025

この画面のdocsにも書いていないので、どうやっても出てこない、で仕様と思います。

この仕様についての理由は、EMail （とSMS）は事前設定は不要だから、だと理解しています。TOTPやFIDO2の場合は実際にデバイスとのペアリング的なことが必要になるので、それをするための画面という認識です。

ちょっとわかりにくいと私も思いますが、これを踏まえて実運用ではユーザ周知を考えるしかないと思っています。

takagiko · ‎04-18-2025

この画面のdocsにも書いていないので、どうやっても出てこない、で仕様と思います。

この仕様についての理由は、EMail （とSMS）は事前設定は不要だから、だと理解しています。TOTPやFIDO2の場合は実際にデバイスとのペアリング的なことが必要になるので、それをするための画面という認識です。

ちょっとわかりにくいと私も思いますが、これを踏まえて実運用ではユーザ周知を考えるしかないと思っています。

YamaT · ‎04-20-2025

ご回答ありがとうございます。

「glide.authenticate.multifactor.self_enrolment_period」を1以上にした場合について。

以下以外は事前にMFA登録できない（「Configure Multi-factor Authentication」画面に表示されない）ということですね。

（なぜこれらが事前登録必要なのか、というお話を伺って納得しました）

ユーザーには別の手段で告知して、以下のように対応しようと思います。

以上、ありがとうございました。