SAP CIAMで実現する、ユーザが方式を選べる二要素認証

近年、エンドユーザのパスワード漏洩被害は増加の一途をたどっており、IDとパスワードのみに依存した認証方法の限界が浮き彫りになっています。こうした背景から、知識情報・所持情報・生体情報を組み合わせる二要素認証（Two-Factor Authentication: TFA）の必要性がかつてなく高まっており、今や多くの業界でセキュリティの標準要件として必須化されるようになりました。
一方で、提供される認証方式がSMSや専用アプリなど単一の選択肢しかない場合、ユーザの利用環境によってはかえって利便性を損ね、サービスからの離脱を引き起こしかねないという新たな課題も生まれています。
そこで本記事では、SAP CIAMを活用し、堅牢なセキュリティを確保しながらユーザ自身が複数の認証方式から利用しやすいものを選択できる実装をご紹介します。

想定する要件

今回は下記のような要件を想定します。

新規登録時にメールとSMSのどちらでTFAを行うかユーザ自身に選択させ、次回以降のログイン時にはその方式でワンタイムパスワード（OTP）を送信する。
ユーザから問い合わせがあった際にはオペレータ対応によりTFAを利用しない設定への変更も可能とする。ユーザ画面からの変更は不可とする。

標準実装における課題

SAP CIAMでは全ユーザに対する一律のTFAルールとして「グローバルルール」を設定することができますが、この場合OTP送信方式は管理コンソールからの一律設定となるため、ユーザ自身で方式を選択させることはできません。また、グローバルルールはユーザ単位でOFFにできないためTFAを利用しない設定に変更することもできません。
ユーザごとにルールのON/OFFを設定できる「アカウントルール」もありますが、クライアントサイドからON/OFFを切り替えるためにはログインセッションが必要となるためScreen-Set（※）を利用した標準的な新規登録フロー上ではルールを設定できません。
※ SAP CIAMの標準入力フォーム群

解決策のポイント

下記のポイントを押さえたカスタマイズを行うことで、上記の課題を解決しユーザ自身が複数の認証方式から利用しやすいものを選択できる仕組みを実装することができます。

メール、SMSそれぞれのTFAルールをアカウントルールとして作成する（デフォルトルールは設定しない）
TFA方式選択画面用のScreenと、Screenを表示させるための必須Schema（※）を用意する
※ SAP CIAMのアカウントデータベース
この必須Schemaがユーザ情報として登録されていない場合にはTFA方式選択画面を表示するように設定する

解決策の実装手順

具体的な実装手順は下記の通りとなります。

1．SAP CIAM管理コンソールからメール、SMSのTFAルールをそれぞれ作成

2．RegsirationLoginのScreen-Set内にTFA方式選択画面用のScreenを作成

3．2．で作成したScreenを新規登録フロー上で表示させるための必須Schemaを作成

4．新規登録フローにおいて必須Schemaが未登録の場合は登録実行時に必須項目不足エラーが返却されるため、必須項目不足エラー返却時かつ不足対象が3．で作成したSchemaだった場合は2．で作成したScreenを表示するようScreen-SetのJavascript Parameterを修正します。
この際、Screenの切り替えにおいて必須項目不足エラーはメールアドレス有効性未確認エラーよりも優先されてしまうため、メアド有効性確認完了後にTFA方式選択の順序とするには必須項目不足エラー検知時にメアド有効性未確認であった場合はメアド有効性確認画面の表示と有効性確認コード通知を明示的に行う処理を入れる必要があります。

5．外部にサーバサイドAPIの実行環境を用意し、TFA方式選択画面上で選択された方式に応じてAPIをリクエストするようScreen-SetのJavascript Parameterを修正
※ ログインセッションがない状態ではサーバサイドAPIでしかアカウントルールを設定できないため