セキュリティスキャンツールが「サーバーが 2FA を使用しているかどうかを判断できません」を返す
Magento_TwoFactorAuth モジュールが無効になっているかどうかを確認します。 チェックに合格するには、通常、有効にする必要があります。
説明 description
環境
Adobe Commerce、すべてのバージョンおよびすべての実装(Magento Open Sourceを含む)
問題
セキュリティ スキャン ツールで、「サーバーが 2FA を使用しているかどうかを判断できません」と報告されます。
解決策 resolution
フロントエンド 2FA を確認する際、セキュリティスキャンツールは、以下のいずれかのエンドポイントが HTTP 200、401、または 403 応答コードで応答することを想定しています。
'rest/default/V1/tfa/provider/authy/activate',
'rest/default/V1/tfa/provider/duo_security/activate',
'rest/default/V1/tfa/provider/google/activate',
'rest/default/V1/tfa/provider/u2fkey/activate',
'rest/default/V1/tfa/forced-providers',
'rest/default/V1/msp-2fa/installed-providers',
'rest/default/V1/msp-2fa/forced-providers',
'rest/V1/tfa/provider/authy/activate',
'rest/V1/tfa/provider/duo_security/activate',
'rest/V1/tfa/provider/google/activate',
'rest/V1/tfa/provider/u2fkey/activate',
'rest/V1/tfa/forced-providers',
'rest/V1/msp-2fa/installed-providers',
'rest/V1/msp-2fa/forced-providers',
'rest/all/schema?services=twoFactorAuthAdminTokenServiceV1'
通常は Magento_TwoFactorAuth を有効にしますが、次の点に注意してください。
- 2FA 機能を有効にし、他のエンドポイントを導入するサードパーティモジュールは他にもあり、これらは上記のリストには含まれない場合があります。 この問題の解決策は、Adobeサポートに連絡し、新しい URI (Uniform Resource Identifiers)を知らせることです。
- 一部の WAF (Web アプリケーションファイアウォール)は、これらのエンドポイントへのリクエストをブロックできるので、IP アドレスがブロックされていないことを確認する必要があります。
サードパーティの 2FA モジュールを有効にしている場合は、セキュリティスキャンツールのチーム(securityscan@magento.com)にお問い合わせください。
原因
Magento_TwoFactorAuth モジュール (または別の 2FA モジュール)が無効になっており、モジュールに関連付けられたエンドポイントにセキュリティ スキャン ツールでアクセスできません。
関連資料
Adobe Commerce セキュリティスキャンツールのトラブルシューティングガイド(Adobe Commerce ナレッジベース)
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f