FIDO2(WebAuthn)
FIDO2(WebAuthn)要素を利用することで、認証に指紋参照などの生体認証方法を利用できます。この要素でサポートされる認証方法は次のとおりです。
- YubiKeyやGoogle Titanなどのセキュリティキー。
- デバイスに統合されていて、Windows HelloやApple Touch IDなどの生体認証データを使用するプラットフォーム認証。
FIDO2(WebAuthn)は、FIDO2 Web認証(WebAuthn)標準に準拠しています。この要素を有効にすると、エンドユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようになります。
orgのOkta URL、カスタムドメインURL、信頼済みのクロスオリジン、クロス認証利用者IDとは異なるURLへのサインインでは、Trusted Origins APIの使用時に検証が必要になります。「信頼済みオリジンの構成」を参照してください。
ワンタイムパスワード(OTP)モードを使用するようにYubiKeyをセットアップおよび管理する方法については、「YubiKey(MFA)」を参照してください。
ユーザーのFIDO2(WebAuthn)セキュリティキーを登録する
Oktaディレクトリに名前が表示されるユーザーに代わって他者がセキュリティキーを登録することができます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。
-
Admin Consoleでに進みます。
- 検索フィールドにユーザー名を入力し、[Enter(入力)]をクリックします。または、[Show all users(すべてのユーザーを表示)]をクリックし、リストでユーザーを見つけて、ユーザーの名前をクリックします。
- [More Actions(その他のアクション)]メニューから、[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]を選択します。
- [Register(登録)]をクリックします。ブラウザーに[Verify your identity(IDを確認)]プロンプトが表示されます。
- [USB security key(USBセキュリティキー)]オプションを選択し、ブラウザーのプロンプトに従います。
- [Allow this site to see your security key?(このサイトへのセキュリティキーの公開を許可しますか?)]プロンプトが表示されたら、[Allow(許可)]をクリックします。
- [Close(閉じる)]または[Register another(ほかにも登録)]をクリックします。
現在の制限
- Google Chromeブラウザーでは、ブラウザーのアップデートが必要な場合、FIDO2(WebAuthn)要素は使用できません。WebAuth機能は、アップデートの適用後にブラウザーを再起動すると復元されます。
- 各ユーザーは最大10件のWebAuthnの登録を構成できます。
ユーザーエクスペリエンス
この要素が有効になっている場合、ユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようにセットアップすることが可能です。構成によっては、ユーザーがユーザー検証の入力を求められることもあります。この検証には、デバイスのタップに加えて、生体認証チャレンジ、PIN、パスワードが含まれる可能性があります。
WebAuthnセキュリティキーまたは生体認証要素を登録すると、ユーザーは、その特定の登録済み要素に関する情報の使用をOktaに許可するよう求められます。これにより、各FIDO2(WebAuthn)要素がユーザーの[Settings(設定)]ページの[Extra Verification(追加検証)]セクションに名前順で表示されます。
ユーザーがFIDO2(WebAuthn)要素のみに登録されている場合、FIDO2(WebAuthn)要素またはデバイスに問題が発生した際に、アカウントに認証できなくなるリスクがあります。デバイスの1つが故障したり、紛失したり、盗難にあったりした場合でも、ユーザーが常にOktaアカウントにアクセスできるように、以下のことを行うようユーザーに推奨します。
- FIDO2(WebAuthn)に加えて、特定のデバイスにバインドされていない他のMFA要素を設定する。
- 複数のブラウザーと複数のデバイスで、複数のWebAuthn登録を作成する。
Touch IDなどのFIDO2(WebAuthn)要素の登録は、1つのデバイス上の1つのブラウザープロファイルに関連付けられます。
ユーザーがFIDO2(WebAuthn)要素を複数のブラウザーまたはデバイスで使用したい場合は、要素を使用するブラウザーおよびデバイスごとにFIDO2(WebAuthn)登録を作成する必要があることを伝えます。
たとえば、ユーザーがMicrosoft WindowsコンピューターでGoogle ChromeとMozilla Firefoxブラウザーを使用しており、Apple MacintoshコンピューターでGoogle ChromeとApple Safariブラウザーを使用している場合、これら4つのブラウザーのそれぞれに新しいWebAuthn登録を作成する必要があります。
また、Google Chromeブラウザーに複数のGoogleアカウントプロファイルがある場合、それらのGoogleアカウントプロファイルごとにWebAuthn登録を作成する必要があります。
さらに、*.okta.com URLでFIDO2(WebAuthn)要素を有効にすると、FIDO2(WebAuthn)要素は、*.okta.com URLを使用したorgへのアクセスのみを許可します。OktaorgのカスタムURLを使用してFIDO2(WebAuthn)要素を有効にすると、FIDO2(WebAuthn)要素は、そのカスタムURLからorgへのアクセスのみを許可します。ユーザーが両方のURLからorgにアクセスできるようにするには、両方のURLでFIDO2(WebAuthn)要素を有効にする必要があります。
同期可能パスキーの管理
パスキーはFIDO2標準の実装であり、FIDO2(WebAuthn)資格情報はスマートフォン、タブレット、ラップトップなどの複数のデバイスや、複数のオペレーティングシステムプラットフォームに存在する可能性があります。パスキーを使用すると、FIDO2(WebAuthn)資格情報をバックアップしたりデバイス間で同期したりできます。これによりFIDO2(WebAuthn)の強力なキーベース/フィッシング不可能な認証モデルが保持され、現在一部の(WebAuthn)Authenticatorで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。
管理対象デバイス環境では、ユーザーはアンマネージドデバイスをパスキーの資格情報に登録したり、そのようなデバイスを使用して企業システムへのアクセスを得たりできます。Oktaを使用すると、管理者はorg全体で新しいFIDO2(WebAuthn)でのパスキーの使用をブロックできます。この機能がオンになっている場合、ユーザーは事前登録されたパスキーを使用して新しいアンマネージドデバイスを登録できません。管理者はセキュリティポリシーをマネージドデバイスに強制適用し、アンマネージドデバイスと侵害された可能性のあるデバイスが企業システムにアクセスするリスクに対処できます。
この機能をオンにすると、orgでのパスキーの使用がブロックされるため、macOS Monterreyを利用するユーザーはSafariブラウザーを使用してTouch IDに登録できなくなります。
パスキーの使用をブロックする
この機能はデフォルトでオフになっています。この機能をオンにするとorgでのパスキーの使用がブロックされます。
-
Admin Consoleで、に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)Authenticatorでパスキーをブロックする]オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが青色に変わります。
MacOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。
パスキーの使用を許可する
これはデフォルト設定です。この機能をオフにするとorgでパスキーを使用できます。
-
Admin Consoleで、に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)Authenticatorでパスキーをブロックする]オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが灰色に変わります。
WebAuthn、ブラウザー、Oktaの互換性
Oktaのテスターは、Oktaと互換性があるブラウザーを判断するために、ブラウザーとWebAuthn実装をテストしました。詳細については、「FIDO2(WebAuthn)の互換性」を参照してください。