先日メンバーからCloudFlareにログインできないと相談を受けました。アカウントの2FAを強制オンにしていたのですが、2FAを紛失してしまったとのこと。バックアップコードも保管した記憶がないということで、メンバーのアカウントの復旧を試みました。
CloudFlareの2FAとは
Super Administratorで2FAの強制をオンにしていると、メンバーを招待したときにパスワード設定と同様に2FAの設定も強制されます。また、この際にバックアップコードも表示されます。次回ログイン時にはこの2FAが要求されますが、IPをCloudFlareが見ているのか、何らかの条件を満たすと2FAはログイン時には要求されません。
CloudFlareの2FAの無効化を試みる
Super Administratorからメンバーの2FAは無効化できない
まずCloudFlareのアカウント管理からメンバーの2FAの無効化ができないかメニューを探してみました。1Passwordなどはそういう機能があるのですが、どうやらCloudFlareにはないようです(プランによってはあるのかもしれない)。
アカウントを削除しても2FAは残る
そこで一旦メンバーのアカウントを削除して、再招待して再登録を実行してもらいました。しかし、パスワードを再設定したあとに2FAが求められます。なんと、アカウントを削除しても2FAは残っており、同じメールアドレスだと2FAは維持されるようです。セキュリティ的には強固ですが、こういう仕様は初めて見ました。
メールアドレスのエイリアスもチェックしている
それならばとGmailのエイリアス機能を使ってメールアドレスを変えて再招待してみました。例えば、momotaro@gmail.comで登録していたのであれば、momotaro+cf@gmail.comで再招待するということです。するとCloudFlareからエラーが…。
エイリアスを認識してNGと言ってきました。CloudFlareのセキュリティは本当にすごいですね。
挫折してCloudFlareに連絡する
CloudFlareのサポートはまずはコミュニティ投稿
CloudFlareのサポートは基本的にコミュニティ投稿のようです。直接サポートに連絡する手段は明確には公開されていません。例えば2FAとバックアップコードの紛失についても書き込みはあります。
community.cloudflare.com
CloudFlareのサポートに連絡する
上の記事を見てもらうと分かりますが、2FAとバックアップコードを紛失した際はユーザーで復旧する手段はありません。上の記事に書かれているメールアドレスに連絡するしかないので、連絡しました。
CloudFlareサポートに2FAの無効化をしてもらう
CloudFlareから認証を求められる
これだけ2FAの無効化が厳しいので、サポートに連絡するだけで無効化を解除はしてくれません。回答としては追加の認証行為を求められました。公開情報ではないので具体的には書きませんが、Google AnalyticsのWebサイトの認証とか、そういう方法に似ています。正直、CloudFlareを使っているサーバーが多数あって中には本番のWebサーバーもあったので目がくらみました。
他に認証方法はないのか?
本番のWebサーバーまで変更するのは骨が折れるので他に方法がないかどうかサポートに質問しました。結論を言うと、他の認証方法でメンバーの2FAは無効化してもらえました。この他の方法も言っていいのか分からないので伏せておきます。もし困った際はサポートに相談すれば良いと思います。
CloudFlareのサポートはとても親切だった
先日CloudFlareは新型コロナウイルス対策のため在宅勤務を基本としており、サポート等のレスポンスが送れる可能性があるというメールを送っていました。が、今回その影響を感じさせない早さで対応いただいたのでとても感謝しています。ありがとうございました。