注意事項

2FA 導入時に誤りやすいポイントをまとめています。

事前に理解しておきたいポイント

チャネル準備は別途必要

2FA API が有効でも、SMS・メール・Voice 側の準備が未完了だと OTP を正常に届けられません。

ユースケースごとにアプリケーションを分ける

登録、ログイン、パスワード変更などを 1 つのアプリケーションにまとめると、設定や制限の調整がしづらくなります。

pinId は検証まで保持する

OTP 送信後のレスポンスに含まれる pinId は、検証 API で必須です。アプリケーション側で確実に紐づけて保持してください。

メール連携ではテンプレートが 2 種類必要

メールで 2FA を使う場合、メッセージテンプレートを作成し、それを参照するブロードキャストテンプレートも作成する必要があります。

emailTemplateId にはブロードキャストテンプレートIDを使う

メールの 2FAでは、NTT CPaaSポータルページからブロードキャストテンプレートを作成し、自動生成されるテンプレートIDをAPIのemailTemplateIdとして指定します。
コンテンツメールテンプレートではないためご注意ください。テンプレートIDの確認方法はこちらを参照してください。

運用上の注意

• OTP の有効期限は短めに設計する
• 試行回数と送信回数の制限を設定する
• 検証結果と送信結果をログに残す
• 再送フローと多重送信防止をアプリ側で設計する

次に読む

• 基本フローを見る: 2FA と OTP の基本
• API 実装を見る: セットアップ
• メール特有の注意を見る: メール連携