FreeOTPでは(認証)アカウントのことを「トークン」と呼んでいます。
画面例はiPhone用FreeOTPアプリのものを掲載しています。
- QRコード表示例
下記はAnyDeskでのhvwin11a@adというエイリアスに対する2要素認証アプリに登録する情報から成るQRコードの例です。
(QRコード直下に表示されている秘密鍵は「25LK...OC7N」です)
※ 通常は複数の認証アプリに同じAnyDeskクライアントのアカウントを登録する場合に備えてこのQRコード画面は画像として保存して再利用可能にします。
(同じ秘密鍵を登録した認証アプリはそのアカウントに対して同じ認証コードを表示しますのでAnyDeskに入力する認証コードはどの認証アプリのものでも構いません)
このQRコードのURIは次のようになっています。
【URIの補足】otpauth://totp/AnyDesk:hvwin11a@ad?secret=24文字の秘密鍵&issuer=anydesk.com
(1)AnyDeskはアカウント種別を表します。
(2)issuer(発行者)=anydesk.comによってanydesk.comのアイコン取得ができているようです。
- FreeOTPを開いて[+]タップ。
「Manual Add」画面が表示されます。
- 「Manual Add」画面への入力。
・先頭のドメイン名登録欄:hvwin11a@ad
・2番目のアカウント名欄:MAanydesk.com(最初の「MA」はManual Addの意味で付与しました)
・Secret:24文字の秘密鍵(大文字・小文字の区別はありません)
・Type:AnyDeskの場合はTOTP固定です。
・Digits:AnyDeskの場合は6桁固定です。
・Algorithm:AnyDeskの場合はSHA1を選択します。
・Interval:AnyDeskの場合はは30秒固定でOKです。
- 後はアカウントアイコンを選択して後はデフォルトのまま[Next]で登録完了させます。
- 追加されたアカウント表示
1番上が手動登録したアカウントで、2番目はQRコードスキャンで登録したアカウントです。
- 同じ認証コード表示
手動登録したアカウントとQRコードスキャンで登録したアカウントは同じ秘密鍵を使用するため30秒ごとに同じ認証コード(ワンタイムパスワード)を表示します。
画面例はiPhone用Google Authenticatorアプリのものを掲載しています。
- QRコード表示例
先述した「FreeOTPへのAnyDeskクライアントの手動登録」でのQRコード表示例のものと同じものを使用しています。
- Google Authenticatorを開いて右下の[+]タップ。
- 登録方法の選択で[セットアップキーを入力]タップ。
- 「アカウント情報の入力」画面への入力。
FreeOTPでの手動入力項目よりも少ないです。
・アカウント名欄:ADGAman: hvwin11a@ad
・鍵:24文字の秘密鍵(大文字・小文字の区別はありません)
・鍵の種類:AnyDeskの場合は[時間ベース](デフォルト)固定です。
- [追加]タップ。
Google Authenticatorのホーム画面に「ADGAman: hvwin11a@ad」アカウントが追加表示されます。
- 同じ認証コード表示
手動登録したアカウントとQRコードスキャンで登録したアカウントは同じ秘密鍵を使用するため30秒ごとに同じ認証コードを表示します。
Microsoft Authenticatorでは(認証)アカウントのことをそのまま「アカウント」と呼んでいます。
画面例はiPhone用Microsoft Authenticatorアプリのものを掲載しています。
- QRコード表示例
先述した「FreeOTPへのAnyDeskクライアントの手動登録」でのQRコード表示例のものと同じものを使用しています。
- Microsoft Authenticatorを開いて[+]タップ。
- [その他(Google、Facebookなど)]をタップ。
「QRコードをスキャン」画面が表示されます。
- 「QRコードをスキャン」画面中の[コードを手動で入力]をタップ。
- 「アカウントを追加」画面が表示されます。
入力項目はアカウント名と秘密鍵のみです。
- 「アカウントを追加」画面に下記情報を入力します。
- アカウント名
アカウント名の一般的な指定方法は「aaaa: bbbbb」です。
aaaaはアカウント種別/区分/提供者等を示すものです。
bbbbbはアカウントIDです。
aaaaとbbbbbの間には区切り記号として「:」を指定します(「:」前後の空白は無視されます)。
ここでは「MA2anydesk: hvwin11a@ad」を指定しました(最初の「MA」はManual Addの意味で付与しました)。
- 秘密鍵
ここで指定する英数字の秘密鍵(「25LK...OC7N」)は文字入力後すぐに●表示となります。
尚、その●はキャプチャされません。
- アカウント名
- [完了]をクリックします。
- 追加されたアカウント表示
ホーム画面のアカウント一覧にここで登録されたアカウントが追加表示されます。
アカウント名(「aaaa: bbbbb」)のaaaaが上段に表示され、bbbbbがその下段に表示されます。
- 同じ認証コード表示
手動登録したアカウントとQRコードスキャンで登録したアカウントは同じ秘密鍵を使用するため30秒ごとに同じ認証コードを表示します。
- おまけ1
AnyDeskはQRコードの下に24文字の秘密鍵を表示しますが、Microsoft Authenticator自体は1文字の秘密鍵からでも6文字の認証コード(ワンタイムパスワード)を生成します。
【例】
・アカウント名:「a: b」
・秘密鍵:「c」
この場合の認証コード表示例;
- おまけ2
iPhone版とAndroid版のMicrosoft AuthenticatorへのAnyDeskクライアントの手動登録手順はほとんど同じです。
Android版Microsoft Authenticatorでは一部のアカウントにカラーアイコンが表示されます。
QRコードの中にアイコン取得情報が含まれていればその情報を使ってそのアイコンが表示されます。
下記はAnyDeskクライアントの手動登録でのカラーアイコン表示例です。
- 登録情報
- カラーアイコン表示例
- AnyDesk以外でのカラーアイコン表示例
AnyDesk以外の2要素認証対応アプリとして例えばInstagramの例をご紹介致します。
Instagramが表示するQRコードは次のようなイメージです。
(32文字の秘密鍵も同時に表示されます)
このQRコードのURIは次のようになっています。
【URIの補足】otpauth://totp/Username:ユーザーネーム?secret=32文字の秘密鍵&issuer=Instagram
(1)Usernameはアカウント種別を表します。
(2)issuer(発行者)=InstagramによってInstagramのアイコン取得ができているようです。
このQRコードをAndroid版Microsoft Authenticatorでスキャンして、アカウント種別の「Username」を「Instagram」に変更して登録したものが下記のアカウント表示です。
ちなみにAnyDeskと違ってInstagramには認証アプリが使用できない場合に備えてのバックアップコード表示機能があります。
- 登録情報
iOSでのMicrosoft AuthenticatorのアカウントはiCloudに保存されます。
例えばiPhone[1]デバイスへのiCloudサインイン用Apple Account(旧Apple ID)がapple12345@abcd.comとします。
またiPhone[1]デバイスでのMicrosoft Authenticatorの回復アカウントをma12345@outlook.jpとします。
この場合、iPhone[1]デバイスでのMicrosoft Authenticatorのアカウント一覧はapple12345@abcd.comでサインインしたiCloudに保存されます。
資格情報(アカウント)の復元とは別のiPhone[2]デバイスでのMicrosoft AuthenticatorにiPhone[1]デバイスでのMicrosoft Authenticatorのアカウントを復元することです。
- iPhone[1]デバイスでのMicrosoft Authenticatorでのアカウントのバックアップ。
バックアップは「設定」での[iCloud バックアップ]をOffからOnに変更した際に行われます。
その際にMicroosftのサイン画面が表示されてma12345@outlook.jpでサインインすることでiCloudで管理されるma12345@outlook.jpアカウントにバックアップが取られることになります。
- iPhone[2]デバイスでのアカウント復元。
iPhone[1]デバイスでバックアップしたアカウントをiPhone[2]デバイスに復元する手順は次の通りとなります。
- iPhone[1]デバイスでのiCloudアカウントでiPhone[2]デバイスにサインインします。
- iPhone[2]デバイスへのMicrosoft Authenticatorのインストール
- iPhone[2]デバイスへインストールしたMicrosoft Authenticatorを開く。
- iPhone[2]デバイスで最初に開いたMicrosoft Authenticatorの[バックアップからの復元]タップ。
- バックアップから復元でのサインイン
iPhone[1]デバイスでの回復アカウントと同じMicrosoftアカウントでサインインします。
これによってiPhone[1]デバイスのMicrosoft Authenticatorに登録されていたアカウントがすべてiPhone[2]デバイスのMicrosoft Authenticatorに復元されます。
- iPhone[1]デバイスでのiCloudアカウントでiPhone[2]デバイスにサインインします。
AndroidでのMicrosoft AuthenticatorのアカウントはiCloudとは関係のない別のMicrosoftのクラウドストレージに保存されます。
ここでAndroid[1]デバイスでのMicrosoft Authenticatorの回復アカウントをand12345@outlook.jpとします。
この場合、Android[1]デバイスでのMicrosoft Authenticatorのアカウント一覧はAndroid用クラウドのand12345@outlook.jpにCloudに保存されます。
資格情報(アカウント)の復元とは別のAndroid[2]デバイスでのMicrosoft AuthenticatorにAndroid[1]デバイスでのMicrosoft Authenticatorのアカウントを復元することです。
- Android[1]デバイスでのMicrosoft Authenticatorでのアカウントのバックアップ。
バックアップは「設定」での[クラウドのバックアップ]をOffからOnに変更した際に行われます。
その際にMicroosftのサイン画面が表示されてma12345@outlook.jpでサインインすることでMicrosoftのクラウドストレージで管理されるma12345@outlook.jpアカウントにバックアップが取られることになります。
- Android[2]デバイスでのアカウント復元。
Android[1]デバイスでバックアップしたアカウントをAndroid[2]デバイスに復元する手順は次の通りとなります。
- Android[2]デバイスへのMicrosoft Authenticatorのインストール。
- Android[2]デバイスへのMicrosoft Authenticatorを開きます。
- Android[2]デバイスで最初に開いたMicrosoft Authenticatorのホーム画面での[回復の開始]リンクをタップ。
- Microsoftアカウントのサインイン画面が表示されます。
- Android[1]デバイスでバックアップしたアカウント(回復アカウント)と同じMicrosoftアカウントでサインインします。
- 「バックアップから復旧しています」と表示されます。
- 復旧後のAndroid[2]デバイスのMicrosoft Authenticatorの内容はAndroid[1]デバイスのMicrosoft Authenticatorの内容と同じになります。
- Android[2]デバイスへのMicrosoft Authenticatorのインストール。