IBM i 7.6新機能！MFA認証機能とはどんなもの？｜e-bellnet.com（IBM i （AS/400）ユーザーのための関連技術情報サイト）

サポートチーム便り2025.07.09

IBM i 7.6新機能！MFA認証機能とはどんなもの？

IBM i （AS/400）の最新バージョンであるV7.6ではMFA認証機能（多要素認証）が搭載されているという情報を見ました。

実際に設定する場合、どのように設定するのでしょうか。

また、設定後はどのような運用になりますでしょうか。

IBM i 7.6の目玉とも言える（かもしれない！！）MFA認証。

どのように設定をするのか、またどのように動くのかを、こちらでも検証してみました。

ここでは通常のサインオン時に追加係数を必要とする設定をご紹介します。

まず、MFA認証を行うためには以下の設定がされている必要があります。

-----------------

システム値の設定
QPWDLVL=4以上

QSECURITY=40以上
NTPによる時刻同期

※参照記事：POWER9システム時間のズレを、業務に影響ないように修正したい
https://www.e-bellnet.com/category/technology/1902/1902-66.html

-----------------

今回検証で使用したエミュレータはIBM i Access Client Solutions（ACS）です。ACSでテストされる場合はバージョン1.1.9.8以上をご用意ください。

MFA認証の有効化
```
CHGSECA ADLSGNFAC(*ENABLED) 
```
※設定を反映させるためには再起動が必要です
MFA認証を行いたいユーザーにてTOTP（Time-based One-Time Password）キーを設定する

※この操作は、管理者が代理で実行できない操作になります。各ユーザーにて実施してください。
- MFA認証を行いたいユーザーにてサインオンします
- TOTPキーの設定コマンドを実行します
```
コマンド例：CHGTOTPKEY TOTPKEY(*GEN)   
```
- TOTPキーが表示されますので、控えておいてください
  
  ※「recovery key」は、リカバリーに必要なキーになるので大切に保管してください。
- 控えたTOTPキーを認証アプリに登録します。
  
  今回は「Google Authenticator」という認証アプリを使用しました。
  
  「copy/paste version」に書かれた文字列をコピーして利用するとスペースを抜く必要がないので便利です。
  
  以下はスマートフォンに導入した認証アプリの設定画面です。
*SECADM権限を持つユーザーにてサインオンし、MFS認証を可能にするようユーザープロファイルの設定を変更する
```
CHGUSRPRF USRPRF(IBMIUSER) AUTHMTH(*TOTP) TOTPOPTITV(60)
```
※TOTPオプション間隔(TOTPOPTITV)は、再度MFA認証が必要になるまでの間隔です。単位は「分」です。

これで設定は完了です。では、実際にどのような動きになるのかを見てみましょう。

以下は、ACSを使用したサンプルです。

ACSのセッションを起動する。最初のサインオン画面

ユーザー、パスワードのほかに「追加係数」を入れます。この追加係数は認証アプリから払い出されたワンタイムパスワードを入力します。（この追加係数の項目は、古いACSでは表示されませんので認証に失敗します）

※MFA認証設定をしていないユーザーの場合、追加係数に入力された値は無視されます。

以下は認証アプリでのワンタイムパスワード払い出し画面です。時間によってパスワードがリフレッシュされるので、リフレッシュされる前に入力を完了させましょう。
5250サインオン画面

サインオン画面にも追加係数（ADDITIONAL FACTOR）の項目があります。認証アプリから払い出されたワンタイムパスワードが有効であれば、追加係数無しにサインオンできます。

※今回検証した環境は日本語環境なのですが、現時点ではMFA認証の設定を行うとサインオン画面が英語になるようです。