iOS アプリに TOTP 多要素認証を追加する

Firebase Authentication with Identity Platform にアップグレードした場合は、アプリに時間ベースのワンタイム パスワード（TOTP）多要素認証（MFA）を追加できます。

Firebase Authentication with Identity Platform を使用すると、TOTP を MFA の追加要素として使用できます。この機能を有効にした場合、ユーザーがアプリにログインしようとすると、アプリに TOTP に対するリクエストが表示されます。TOTP コードを生成するには、Google 認証システムなど、有効な TOTP コードを生成できる認証システム アプリを使用する必要があります。

準備

1. MFA をサポートするプロバイダを少なくとも 1 つ有効にします。以下を除くすべてのプロバイダが MFA をサポートしていることにご注意ください。

   • 電話認証
   • 匿名認証
   • カスタム認証トークン
   • Apple Game Center

2. アプリでユーザーのメールアドレスが検証されるようにします。MFA では、メールの確認を行う必要があります。これにより、悪意のある人物が所有していないメールアドレスでサービスに登録してから第 2 要素を追加することで、そのメールアドレスの実際の所有者をロックアウトすることを防ぎます。

3. まだ Firebase Apple SDK をインストールしていない場合は、インストールします。

   TOTP MFA は、Apple SDK バージョン v10.12.0 以降かつ iOS でのみサポートされています。

TOTP MFA を有効にする

TOTP を第 2 要素として有効にするには、Admin SDK を使用するか、プロジェクト構成 REST エンドポイントを呼び出します。

Admin SDK を使用する手順は次のとおりです。

1. Firebase Admin Node.js SDK をまだインストールしていない場合は、インストールします。

   TOTP MFA は、Firebase Admin Node.js SDK バージョン 11.6.0 以降でのみサポートされています。

2. 以下のコマンドを実行します。

   import { getAuth } from 'firebase-admin/auth';
   
   getAuth().projectConfigManager().updateProjectConfig(
   {
         multiFactorConfig: {
             providerConfigs: [{
                 state: "ENABLED",
                 totpProviderConfig: {
                     adjacentIntervals: NUM_ADJ_INTERVALS
                 }
             }]
         }
   })
   

   以下のように置き換えます。

   • NUM_ADJ_INTERVALS: TOTP を受け入れる隣接する時間枠間隔の数（0～10）。デフォルト値は 5 です。

     TOTP は、2 つの当事者（証明者と検証者）が同じ時間枠（通常は 30 秒）内に OTP を生成したときに同じパスワードを生成するようにします。ただし、当事者と他のユーザーの応答時間の間に生じるクロック ドリフトに対応するために、隣接する時間枠の TOTP も受け入れるように TOTP サービスを構成できます。

REST API を使用して TOTP MFA を有効にするには、次のコマンドを実行します。

curl -X PATCH "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=mfa" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    -H "X-Goog-User-Project: PROJECT_ID" \
    -d \
    '{
        "mfa": {
          "providerConfigs": [{
            "state": "ENABLED",
            "totpProviderConfig": {
              "adjacentIntervals": NUM_ADJ_INTERVALS
            }
          }]
       }
    }'

以下のように置き換えます。

• PROJECT_ID: プロジェクト ID。

• NUM_ADJ_INTERVALS: 時間枠間隔の数（0 ～ 10） デフォルト値は 5 です。

  TOTP は、2 つの当事者（証明者と検証者）が同じ時間枠（通常は 30 秒）内に OTP を生成したときに同じパスワードを生成するようにします。ただし、当事者と他のユーザーの応答時間の間に生じるクロック ドリフトに対応するために、隣接する時間枠の TOTP も受け入れるように TOTP サービスを構成できます。

登録パターンを選択する

アプリで多要素認証が必要かどうかと、ユーザーを登録する方法とタイミングを選択できます。一般的なパターンには、次のようなものが含まれます。

• 登録の一部として、ユーザーの第 2 要素を登録する。アプリがすべてのユーザーに対して多要素認証を必要とする場合は、この方法を使用します。

• 登録中に第 2 要素の登録をスキップできる選択肢を用意する。アプリで多要素認証を必須とはしないが、推奨する場合は、この方法を使用できます。

• 登録画面ではなく、ユーザーのアカウントまたはプロフィールの管理ページから第 2 要素を追加する機能を用意する。これにより、登録プロセス中の摩擦が最小限に抑えられる一方、セキュリティに敏感なユーザーは多要素認証を利用できるようになります。

• セキュリティ要件が強化された機能にユーザーがアクセスする際には、第 2 要素を段階的に追加することを要求する。

TOTP MFA にユーザーを登録する

アプリの第 2 要素として TOTP MFA を有効にした後、TOTP MFA にユーザーを登録するには、クライアント側ロジックを実装します。

1. ユーザーを再認証します。

2. 認証されたユーザーの TOTP シークレットを生成します。

   // Generate a TOTP secret.
   guard let mfaSession = try? await currentUser.multiFactor.session() else { return }
   guard let totpSecret = try? await TOTPMultiFactorGenerator.generateSecret(with: mfaSession) else { return }
   
   // Display the secret to the user and prompt them to enter it into their
   // authenticator app. (See the next step.)
   

3. ユーザーにシークレットを表示し、それを認証システム アプリに入力するよう求めます。

   // Display this key:
   let secret = totpSecret.sharedSecretKey()
   

   秘密鍵を表示するだけでなく、デバイスのデフォルトの認証システムアプリに自動的に追加できます。そのためには、Google 認証システムと互換性のある鍵の URI を生成して openInOTPApp(withQRCodeURL:) に渡します。

   let otpAuthUri = totpSecret.generateQRCodeURL(
       withAccountName: currentUser.email ?? "default account",
       issuer: "Your App Name")
   totpSecret.openInOTPApp(withQRCodeURL: otpAuthUri)
   

   ユーザーが認証システム アプリにシークレットを追加すると、TOTP の生成が開始されます。

4. 認証システム アプリによって表示された TOTP を入力し、これを使用して MFA 登録を完了するようユーザーに求めます。

   // Ask the user for a verification code from the authenticator app.
   let verificationCode = // Code from user input.
   
   // Finalize the enrollment.
   let multiFactorAssertion = TOTPMultiFactorGenerator.assertionForEnrollment(
       with: totpSecret,
       oneTimePassword: verificationCode)
   do {
       try await currentUser.multiFactor.enroll(
           with: multiFactorAssertion,
           displayName: "TOTP")
   } catch {
       // Wrong or expired OTP. Re-prompt the user.
   }
   

第 2 要素を使用してユーザー ログインを行う

TOTP MFA を使用してユーザー ログインを行うには、次のコードを使用します。

1. MFA を使用していない場合と同様に、signIn(with...:) メソッドのいずれかを呼び出します（たとえば、signIn(withEmail:password:)）。メソッドがコード secondFactorRequired でエラーをスローした場合は、アプリの MFA フローを開始します。

   do {
       let authResult = try await Auth.auth().signIn(withEmail: email, password: password)
   
       // If the user is not enrolled with a second factor and provided valid
       // credentials, sign-in succeeds.
   
       // (If your app requires MFA, this could be considered an error
       // condition, which you would resolve by forcing the user to enroll a
       // second factor.)
   
       // ...
   } catch let error as AuthErrorCode where error.code == .secondFactorRequired {
       // Initiate your second factor sign-in flow. (See next step.)
       // ...
   } catch {
       // Other auth error.
       throw error
   }
   

2. アプリの MFA フローでは、まず、使用する第 2 要素を選択するようユーザーに促します。サポートされている第 2 要素のリストは、MultiFactorResolver インスタンスの hints プロパティを調べて、取得できます。

   let mfaKey = AuthErrorUserInfoMultiFactorResolverKey
   guard let resolver = error.userInfo[mfaKey] as? MultiFactorResolver else { return }
   let enrolledFactors = resolver.hints.map(\.displayName)
   

3. ユーザーが TOTP を使用することを選択した場合は、認証システム アプリに表示される TOTP を入力し、それを使用してログインするようにユーザーに促します。

   let multiFactorInfo = resolver.hints[selectedIndex]
   switch multiFactorInfo.factorID {
   case TOTPMultiFactorID:
       let otpFromAuthenticator = // OTP typed by the user.
       let assertion = TOTPMultiFactorGenerator.assertionForSignIn(
           withEnrollmentID: multiFactorInfo.uid,
           oneTimePassword: otpFromAuthenticator)
       do {
           let authResult = try await resolver.resolveSignIn(with: assertion)
       } catch {
           // Wrong or expired OTP. Re-prompt the user.
       }
   default:
       return
   }
   

TOTP MFA の登録を解除する

このセクションでは、ユーザーによる TOTP MFA の登録の解除を処理する方法について説明します。

ユーザーが複数の MFA オプションに登録し、最後に有効にしたオプションから登録を解除した場合は、ユーザーはauth/user-token-expired を受け取ってログアウトされます。ユーザーは再ログインして、既存の認証情報（メールアドレスやパスワードなど）を確認する必要があります。

ユーザー登録の解除、エラー処理、再認証のトリガーを行うには、次のコードを使用します。

guard let currentUser = Auth.auth().currentUser else { return }

// Prompt the user to select a factor to unenroll, from this array:
currentUser.multiFactor.enrolledFactors

// ...

// Unenroll the second factor.
let multiFactorInfo = currentUser.multiFactor.enrolledFactors[selectedIndex]
do {
    try await currentUser.multiFactor.unenroll(with: multiFactorInfo)
} catch let error as AuthErrorCode where error.code == .invalidUserToken {
    // Second factor unenrolled, but the user was signed out. Re-authenticate
    // them.
}

次のステップ

• Admin SDK を使用して、プログラムで多要素ユーザーを管理する。