モバイルまたはデスクトップの TOTP アプリを使用して 2 要素認証 (2FA) を構成できます。 TOTP アプリを使用して 2FA を構成した後、代替 2FA の方法としてセキュリティ キーを追加することもできます。
2FA を構成する時間ベースのワンタイム パスワード (TOTP) アプリケーションを使うことをお勧めします。 多くの TOTP アプリでは、クラウドでの認証コードのセキュリティで保護されたバックアップがサポートされており、デバイスにアクセスできなくなった場合に復元できます。
Warning
- 2FA が必要な organization のプライベート リポジトリに対する外部コラボレーターは、organization を離れてからでないと 2FA を無効にできません。
- 2FA が必要な organization のメンバーは、2FA を無効にしている間は、その organization のリソースにアクセスできません。
- 2FA を無効にすると、自動的に organization にアクセスできなくなります。 再び organization にアクセスできるようにするには、メンバーの場合は、2FA を再度有効にする必要があります。 外部コラボレーターの場合は、2FA を無効にした後は organization のプライベート リポジトリの自分が持っているプライベート フォークにもアクセスできなくなり、2FA を再度有効にして、organization の所有者にアクセス権を元に戻すよう依頼する必要があります。
Note
2FA を完全に無効にせずに 2FA の設定を再構成でき、回復コードと 2FA を必要とする organization のメンバーシップの両方を維持できます。
TOTP アプリを使って 2要素認証を設定する
時間ベースのワンタイムパスワード (TOTP) アプリケーションは、認証コードを自動的に生成します。このコードは、一定の時間が過ぎた後は変化します。 これらのアプリは、スマートフォンまたはデスクトップにダウンロードできます。 クラウドベースの TOTP アプリを使うことをお勧めします。 GitHub は、TOTP アプリに関してはアプリに依存しないため、任意の TOTP アプリを自由に選択できます。 ブラウザーでTOTP app
を検索するだけで、さまざまなオプションが見つかります。 また、好みに合わせてfree
やopen source
のようなキーワードを追加して検索を絞り込むこともできます。
Tip
複数のデバイスで TOTP による認証を構成するには、設定時に、各デバイスを使って同時に QR コードをスキャンするか、TOTP のシークレットである "セットアップ キー" を保存します。 2 要素認証がすでに有効化されており、別のデバイスを追加したい場合は、セキュリティ設定から TOTP アプリを再設定する必要があります。
-
お使いの携帯電話またはデスクトップにお好きな TOTP アプリをダウンロードします。
-
GitHub で、任意のページの右上隅にある自分のプロフィール写真をクリックしてから、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、[ パスワードと認証] をクリックします。
-
ページの [2 要素認証] セクションで、 [2 要素認証を有効にする] を選びます。
-
[QR コードのスキャン] で、次のいずれかの操作を行います。
- QR コードを、モバイルデバイスのアプリでスキャンする。 スキャン後、アプリは GitHub Enterprise Server で入力する 6 桁の数字を表示します。
- QR コードをスキャンできない場合は、 セットアップ キー をクリックして、代わりに TOTP アプリに手動で入力できる TOTP シークレットのコードを表示します。
-
TOTP アプリケーションによって お使いの GitHub Enterprise Server インスタンス にアカウントが保存され、数秒ごとに新しい認証コードが生成されます。 GitHub Enterprise Server 上で、[アプリからコードを確認する] の下にあるフィールドにこのコードを入力します。
-
[リカバリ コードの保存] で、 [ダウンロード] をクリックしてリカバリ コードをデバイスにダウンロードします。 リカバリコードはアクセスを失ったときにアカウントに復帰するための役に立つので、それらは安全な場所に保存しておいてください。
-
2 要素リカバリ コードを保存したら、 [リカバリ コードを保存しました] をクリックして、アカウントの 2 要所認証を有効化してください。
-
必要に応じて、アカウント ロックアウトのリスクを軽減するように、追加の 2FA メソッドを構成できます。 追加の各方法を構成する方法について詳しくは、「セキュリティ キーを使用した 2 要素認証の構成」 を参照してください。
TOTP アプリを手動で構成する
セットアップされた QR コードをスキャンできない、または TOTP アプリを手動でセットアップし、QR コードでエンコードされたパラメーターを必要とする場合は、次のようになります:
- 型:
TOTP
- ラベル:
GitHub:<username>
ここで<username>
は、GitHub 上のハンドルです (例:monalisa
) - シークレット: これはエンコードされたセットアップ キーで、構成中に [セットアップ キー] をクリックすると表示されます
- 発行者:
GitHub
- アルゴリズム: 既定の SHA1 が使用されます
- 数字: 既定値の 6 が使用されます
- 既定の時間は 30 (秒) です
セキュリティキーを使用して 2 要素認証を設定する
パスキーを使用すると、パスワードを入力しなくても、ブラウザで GitHub に安全にサインインできます。
2 要素認証 (2FA) を使っている場合、パスキーはパスワードと 2FA の両方の要件を満たすので、1 つの手順でサインインを完了できます。 2FA を使用しない場合、パスキーを使用すると、メールで新しいデバイスを検証する要件はスキップされます。 また、パスキーは sudo モードやパスワードのリセットにも使用できます。「パスキーの概要」を参照してください。
Note
代わりに、Windows Hello、Face ID、Touch ID などのプラットフォーム認証子をパスキーとして登録できます。
- TOTP モバイル アプリを介して、あらかじめ 2 要素認証を構成しておく必要があります。
- GitHub で、任意のページの右上隅にある自分のプロフィール写真をクリックしてから、 [設定] をクリックします。
- サイドバーの [セキュリティ] セクションで、[ パスワードと認証] をクリックします。
- [パスキー] の下にある [パスキーの追加] をクリックします。
- プロンプトが表示されたら、パスワードを使って認証するか、既存の別の認証方法を使います。
- [パスワードレス認証の構成] でプロンプトを確認し、 [パスキーの追加] をクリックします。
- プロンプトが表示されたら、パスキー プロバイダーが説明する手順に従います。
- 次のページで、パスキーが正常に登録されたことを確認する情報を見直し、 [完了] をクリックします。
セキュリティキーを使って 2 要素認証を設定する
一部の FIDO 認証子はパスキーとして使用できませんが、これらの認証子をセキュリティ キーとして登録することはできます。 セキュリティ キーは WebAuthn 認証情報でもありますが、パスキーとは異なり、ユーザーの検証を必要としません。 セキュリティ キーはユーザーのプレゼンスを確認するだけで済むため、2 番目の要素としてのみカウントされ、パスワードと組み合わせて使用する必要があります。
アカウントのセキュリティ キーの登録は、TOTP アプリケーションを使って 2FA を有効にした後に使用できます。 セキュリティキーをなくした場合でも、モバイルデバイスのコードを使ってサインインできます。
-
TOTP モバイル アプリを介して、あらかじめ 2 要素認証を構成しておく必要があります。
-
WebAuthn と互換性のあるセキュリティ キーがデバイスに挿入されていることを確認します。
-
GitHub で、任意のページの右上隅にある自分のプロフィール写真をクリックしてから、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、[ パスワードと認証] をクリックします。
-
[Security keys](セキュリティ キー) の横にある Add をクリックします。
-
[Security keys](セキュリティ キー) の下にある [Register new security key](新しいセキュリティ キーの登録) をクリックします。
-
セキュリティ キーのニックネームを入力して、 Add をクリックします。
-
セキュリティ キーのドキュメントに従って、セキュリティ キーをアクティブにします。
-
リカバリコードをダウンロードしていて、アクセスできることを確認してください。 まだコードをダウンロードしていないか、コードのセットをもう 1 つ生成したい場合は、コードをダウンロードして、安全な場所に保存します。 詳しくは、「2 要素認証リカバリ方法を設定する」をご覧ください。