Extension:OATHAuth
 リリースの状態: 安定 |
|
|---|---|
.png) |
|
| 実装 | 利用者権限, 特別ページ, ページの操作 |
| 説明 | ログインする際の二要素認証を可能にします。 |
| 作者 | Ryan Lane |
| 最新バージョン | 継続的な更新 |
| 互換性の方針 | MediaWiki とともにリリースされるスナップショット。 master には後方互換性がありません。 |
| データベースの変更 | はい |
| テーブル | oathauth_users |
| ライセンス | GPL-2.0-or-later AND GPL-3.0-or-later |
| ダウンロード | |
|
|
|
|
|
| 四半期ごとのダウンロード数 | 78 (Ranked 53rd) |
| 使用中の公開ウィキ | 1,459 (Ranked 205th) |
| translatewiki.net で翻訳を利用できる場合は、OATHAuth 拡張機能の翻訳にご協力ください | |
| 問題点 | 未解決のタスク · バグを報告 |
OATHAuth[1]拡張機能で、二要素認証に対応。 既定では、これにはtime-based one-time password (TOTP) の実装が含まれており、利用者は携帯電話やデスクトップアプリケーションから2FAコードを生成できるようになっています。 クライアントサポートは、ほとんどのフィーチャーフォン、スマートフォン、デスクトップで利用可能です。
使用法
Two-factor authentication上のヘルプページは利用者のためにこの拡張機能の使い方に関する情報を提供します。 ただし、特別ページでは利用者にも案内しています。
インストール
 警告: | There is a bug with this extension where it does not update properly from the web (mw-config) updater and must instead use the update.php command line update script (phab:T371849) |
- ダウンロードして、ファイルを
extensions/フォルダー内のOATHAuthという名前のディレクトリ内に配置します。
開発者とコード寄稿者は、上記の代わりに以下を使用してGitからインストールします:cd extensions/
git clone https://gerrit.wikimedia.org/r/mediawiki/extensions/OATHAuth - Gitでのインストールの場合のみ、PHPの依存関係をインストールするためComposerを実行します。 (合併症の可能性についてはT173141を参照。)
- 以下のコードを LocalSettings.php ファイルの末尾に追加します:
wfLoadExtension( 'OATHAuth' );
- 更新スクリプトを実行します。このスクリプトは、この拡張機能が必要とするデータベーステーブルを自動的に作成します。
- 必要に応じて設定します。
- It is strongly recommended to setup caching when using OATHAuth. This will improve performance, but also the security of your wiki if you're using OATHAuth. If you are only running one application/web server and have php-apcu installed, and no specific cache configured, MediaWiki will likely fallback to using APCu. If you are using multiple application/web server it is advised to set up local cluster caching that all hosts can use. Examples include Memcached.
完了 – ウィキの「Special:Version」に移動して、拡張機能が正しくインストールされたことを確認します。
設定の構成
パラメーター
| 構成フラグ | 既定値 | 説明 |
|---|---|---|
$wgOATHAuthWindowRadius
|
4
|
有効であるべき各方向のトークン・ウィンドウの数。
実質的に |
$wgOATHAuthDatabase
|
false
|
(廃止予定) データベースのドメイン。 複数のデータベースでのみ使用されます。 After MediaWiki 1.42, you should use $wgVirtualDomainsMapping['virtual-oathauth'] instead of this option. |
$wgOATHAuthSecret
|
false
|
全暗号化キーの派生元であるこのWikiの基本OATHAuthシークレット。
|
$wgOATHAuthAccountPrefix
|
false
|
OATHAuthのアカウント名に使用される接頭辞と、アカウントに適用される発行者。
|
$wgOATHExclusiveRights
|
[]
|
Set of permissions that are revoked from users who did not login using two-factor authentication. |
$wgOATHRequiredForGroups
|
[]
|
Sets a list of user groups that are required to have two-factor authentication enabled. Use 'user' if you want all logged-in users required to enable two-factor authentication. |
OATHAuth also adds a key to the $wgRateLimits array to define rate limits for authentication attempts:
'badoath' => [
'&can-bypass' => false,
'user' => [ 10, 60 ],
'user-global' => [ 10, 60 ],
]
user-globalキーはバージョン1.35からでしか使えないことに注意してください。
Earlier version have to rely on user and perhaps ip-all.
完全な一覧は、$wgRateLimits の説明文書を参照してください。
利用者権限
- OATHAuthへのアクセス権限
Users should be given access to the oathauth-enable user right so that they can enable it at Special:OATHAuth (a link to which appears at Special:Preferences).
$wgGroupPermissions['user']['oathauth-enable'] = true;
上記から、全登録利用者にOATHAuthを有効にするためのアクセス権限が付与されます。
管理
利用者トークンのリセット
If a user loses both their token generator and the recovery tokens, two-factor authentication may be removed from the user by running the disableOATHAuthForUser maintenance script:
| MediaWiki バージョン: | 1.40 |
$ ./maintenance/run OATHAuth:disableOATHAuthForUser <user>
| MediaWiki バージョン: | ≦ 1.39 |
$ php ./extensions/OATHAuth/maintenance/disableOATHAuthForUser.php <user>
Where <user> is the name of the user to have 2FA disabled.
Shared database tables
Some Wikis may want to share the 2FA data amongst multiple Wikis.Shared database tables, the previous method for doing so is deprecated in MediaWiki 1.42 and later. For new wiki-farm installations where you want users to share their 2FA token amongst multiple wikis, please use $wgVirtualDomainsMapping and the extensions will automatically make its tables use the specified database name.
$wgVirtualDomainsMapping['virtual-oathauth'] = [ 'db' => 'sharedbname' ]
When using shared database tables, i.e., the same set of users for different wikis, add oathauth_devices and oathauth_types to $wgSharedTables.
$wgSharedTables[] = 'oathauth_devices';
$wgSharedTables[] = 'oathauth_types';
関連項目
- Wikimedia Security Team/Two-factor Authentication for CentralAuth wikis
- Two-factor authentication (TFA)
- Extension:WebAuthn
- Initiative for Open Authentication (OATH)
References
- ↑ OATH は open authentication の頭字語です。
| この拡張機能は 1 つ以上のウィキメディアのプロジェクトで使用されています。 これはおそらく、この拡張機能が安定していて高いトラフィックのウェブサイトでも十分に動作することを意味します。 この拡張機能がインストールされている場所を確認するには、ウィキメディアの設定ファイル CommonSettings.php および InitialiseSettings.php 内で、この拡張機能の名前を探してください。 特定のウィキにインストールされている拡張機能の完全な一覧は、そのウィキの Special:Version ページにあります。 |
| この拡張機能は以下のウィキ ファーム/ウィキ ホスト/パッケージに含まれています: これは正式な一覧ではありません。 一部のウィキ ファーム/ウィキ ホスト/パッケージは、ここに記載されていなくてもこの拡張機能を含んでいる場合があります。 必ずご利用のウィキ ファーム、ウィキ ホスト、バンドルで確認してください。 |