モバイルまたはデスクトップの TOTP アプリを使用して 2 要素認証 (2FA) を構成できます。 TOTP アプリを使用して 2FA を構成した後、代替 2FA の方法としてセキュリティ キーを追加することもできます。
2FA を構成する時間ベースのワンタイム パスワード (TOTP) アプリケーションを使うことをお勧めします。 多くの TOTP アプリでは、クラウドでの認証コードのセキュリティで保護されたバックアップがサポートされており、デバイスにアクセスできなくなった場合に復元できます。
警告:
- 2 要素認証が必要な組織のプライベート リポジトリに対してメンバーまたは外部コラボレーターである場合、2 要素認証を無効にする前に組織から離脱する必要があります。
- 2 要素認証を無効化すると、組織や 組織のプライベートリポジトリのフォークへのアクセスも失います。 組織およびフォークへのアクセスを再取得するには、2 要素認証を再有効化し、組織オーナーに連絡します。
注: 2FA を完全に無効にせずに 2FA 設定を再構成できるため、回復コードと 2FA を必要とする組織のメンバーシップの両方を保持できます。
TOTP アプリを使って 2要素認証を設定する
時間ベースのワンタイムパスワード (TOTP) アプリケーションは、認証コードを自動的に生成します。このコードは、一定の時間が過ぎた後は変化します。 これらのアプリは、スマートフォンまたはデスクトップにダウンロードできます。 クラウドベースの TOTP アプリを使うことをお勧めします。 GitHub は、TOTP アプリに関してはアプリに依存しないため、任意の TOTP アプリを自由に選択できます。 ブラウザーでTOTP appを検索するだけで、さまざまなオプションが見つかります。 また、好みに合わせてfreeやopen sourceのようなキーワードを追加して検索を絞り込むこともできます。
ヒント: 複数のデバイスで TOTP による認証を構成する場合は、設定時に各デバイスを使って同時に QR コードをスキャンするか、TOTP のシークレットである「setup key」を保存します。 2 要素認証がすでに有効化されており、別のデバイスを追加したい場合は、セキュリティ設定から TOTP アプリを再設定する必要があります。
-
お使いの携帯電話またはデスクトップにお好きな TOTP アプリをダウンロードします。
-
GitHub で、任意のページの右上隅にある自分のプロフィール写真をクリックしてから、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、[ パスワードと認証] をクリックします。
-
ページの [2 要素認証] セクションで、 [2 要素認証を有効にする] を選びます。
-
[QR コードのスキャン] で、次のいずれかの操作を行います。
- QR コードを、モバイルデバイスのアプリでスキャンする。 スキャン後、アプリは GitHub Enterprise Server で入力する 6 桁の数字を表示します。
- QR コードをスキャンできない場合は、 セットアップ キー をクリックして、代わりに TOTP アプリに手動で入力できる TOTP シークレットのコードを表示します。
![2FA 設定の [Setup authenticator app] (認証アプリのセットアップ) セクションのスクリーンショット。 "セットアップ キー" というラベルの付いたリンクがオレンジ色で強調表示されます。](/assets/cb-23826/images/help/2fa/ghes-3.8-and-higher-2fa-wizard-app-click-code.png)
-
TOTP アプリケーションによって お使いの GitHub Enterprise Server インスタンス にアカウントが保存され、数秒ごとに新しい認証コードが生成されます。 GitHub Enterprise Server 上で、[アプリからコードを確認する] の下にあるフィールドにこのコードを入力します。
-
[リカバリ コードの保存] で、 [ダウンロード] をクリックしてリカバリ コードをデバイスにダウンロードします。 リカバリコードはアクセスを失ったときにアカウントに復帰するための役に立つので、それらは安全な場所に保存しておいてください。
-
2 要素リカバリ コードを保存したら、 [リカバリ コードを保存しました] をクリックして、アカウントの 2 要所認証を有効化してください。
-
必要に応じて、アカウント ロックアウトのリスクを軽減するように、追加の 2FA メソッドを構成できます。 追加の各方法を構成する方法について詳しくは、「セキュリティ キーを使用した 2 要素認証の構成」 を参照してください。
![2FA 設定の [Setup authenticator app] (認証アプリのセットアップ) セクションのスクリーンショット。 "セットアップ キー" というラベルの付いたリンクがオレンジ色で強調表示されます。](/assets/cb-23826/mw-1440/images/help/2fa/ghes-3.8-and-higher-2fa-wizard-app-click-code.webp)
TOTP アプリを手動で構成する
セットアップされた QR コードをスキャンできない、または TOTP アプリを手動でセットアップし、QR コードでエンコードされたパラメーターを必要とする場合は、次のようになります:
- 型:
TOTP - ラベル:
GitHub:<username>ここで<username>は、GitHub 上のハンドルです (例:monalisa) - シークレット: これはエンコードされたセットアップ キーで、構成中に [セットアップ キー] をクリックすると表示されます
- 発行者:
GitHub - アルゴリズム: 既定の SHA1 が使用されます
- 数字: 既定値の 6 が使用されます
- 既定の時間は 30 (秒) です
セキュリティキーを使用して 2 要素認証を設定する
パスキーを使用すると、パスワードを入力しなくても、ブラウザで GitHub に安全にサインインできます。
2 要素認証 (2FA) を使っている場合、パスキーはパスワードと 2FA の両方の要件を満たすので、1 つの手順でサインインを完了できます。 2FA を使用しない場合、パスキーを使用すると、メールで新しいデバイスを検証する要件はスキップされます。 また、パスキーは sudo モードやパスワードのリセットにも使用できます。「パスキーの概要」を参照してください。
注: 代わりに、Windows Hello、Face ID、Touch ID などのプラットフォーム認証子をパスキーとして登録できます。
- TOTP モバイル アプリを介して、あらかじめ 2 要素認証を構成しておく必要があります。
- GitHub で、任意のページの右上隅にある自分のプロフィール写真をクリックしてから、 [設定] をクリックします。
- サイドバーの [セキュリティ] セクションで、[ パスワードと認証] をクリックします。
- [パスキー] の下にある [パスキーの追加] をクリックします。
- プロンプトが表示されたら、パスワードを使って認証するか、既存の別の認証方法を使います。
- [パスワードレス認証の構成] でプロンプトを確認し、 [パスキーの追加] をクリックします。
- プロンプトが表示されたら、パスキー プロバイダーが説明する手順に従います。
- 次のページで、パスキーが正常に登録されたことを確認する情報を見直し、 [完了] をクリックします。
セキュリティキーを使って 2 要素認証を設定する
一部の FIDO 認証子はパスキーとして使用できませんが、これらの認証子をセキュリティ キーとして登録することはできます。 セキュリティ キーは WebAuthn 認証情報でもありますが、パスキーとは異なり、ユーザーの検証を必要としません。 セキュリティ キーはユーザーのプレゼンスを確認するだけで済むため、2 番目の要素としてのみカウントされ、パスワードと組み合わせて使用する必要があります。
アカウントのセキュリティ キーの登録は、TOTP アプリケーションを使って 2FA を有効にした後に使用できます。 セキュリティキーをなくした場合でも、モバイルデバイスのコードを使ってサインインできます。
-
TOTP モバイル アプリを介して、あらかじめ 2 要素認証を構成しておく必要があります。
-
WebAuthn と互換性のあるセキュリティ キーがデバイスに挿入されていることを確認します。
-
GitHub で、任意のページの右上隅にある自分のプロフィール写真をクリックしてから、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、[ パスワードと認証] をクリックします。
-
[Security keys](セキュリティ キー) の横にある Add をクリックします。
![2FA 設定の [two-factor methods] (2 要素の方法) セクションのスクリーンショット。 [Add] (追加) というラベルが付いた灰色のボタンがオレンジ色の枠線で囲まれています。](/assets/cb-33660/images/help/2fa/add-security-keys-option.png)
-
[Security keys](セキュリティ キー) の下にある [Register new security key](新しいセキュリティ キーの登録) をクリックします。
-
セキュリティ キーのニックネームを入力して、 Add をクリックします。
-
セキュリティ キーのドキュメントに従って、セキュリティ キーをアクティブにします。
-
リカバリコードをダウンロードしていて、アクセスできることを確認してください。 まだコードをダウンロードしていないか、コードのセットをもう 1 つ生成したい場合は、コードをダウンロードして、安全な場所に保存します。 詳しくは、「2 要素認証リカバリ方法を設定する」を参照してください。
![2FA 設定の [two-factor methods] (2 要素の方法) セクションのスクリーンショット。 [Add] (追加) というラベルが付いた灰色のボタンがオレンジ色の枠線で囲まれています。](/assets/cb-33660/mw-1440/images/help/2fa/add-security-keys-option.webp)