FIDO2WebAuthn

FIDO2WebAuthn)要素では、指紋読み取りなどの生体認証方法を使用して認証できます。この要素は、次の3つの認証方法をサポートしています。

  • YubiKeyやGoogle Titanなどのセキュリティキー。
  • デバイスに統合されていて、Windows HelloやApple Touch IDなどの生体認証データを使用するプラットフォーム認証。
  • Trusted Origins APIを使用する場合、組織のOkta URL、カスタムドメインURL、信頼済みのクロスオリジン、クロスリライングパーティーIDとは異なるURLへのサインインには、検証が必要です。「Trusted Originsの構成」を参照してください。

FIDO2WebAuthn)はFIDO2 Web認証(WebAuthn)標準に準拠しています。この要素を有効にすると、エンドユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようになります。

ワンタイムパスワード(OTP)モードを使用するようにYubiKeyを設定および管理する方法については、「YubiKey(MFA)」を参照してください。

ユーザーのWebAuthnセキュリティキーの登録

ユーザーの代わりにWebAuthnセキュリティキーを登録できます。

  1. 管理コンソールで、[Directory(ディレクトリ)][People(ユーザー)]に進みます。

  2. 登録するユーザーを探します。
  3. [Profile(プロファイル)]をクリックして、[User attributes(ユーザー属性)]ページを表示します。
  4. [その他のアクション][FIDO2セキュリティ・キーを登録]をクリックします。
  5. [登録]をクリックしてキーを登録します。ブラウザーまたはデバイスからキーを登録するように求められます。
  6. 画面の指示に従います。登録が成功すると確認のメッセージが表示されます。

現在の制限

  • Google Chromeブラウザでは、ブラウザのアップデートが必要な場合、FIDO2WebAuthn)要素は使用できません。WebAuth機能は、アップデートの適用後にブラウザを再起動すると復元されます。
  • 各ユーザーは最大10件のWebAuthnの登録を構成できます。

ユーザーエクスペリエンス

この要素が有効になっている場合、ユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようにセットアップすることが可能です。構成によっては、ユーザーがユーザー検証の入力を求められることもあります。この検証には、デバイスのタップに加えて、生体認証チャレンジ、PIN、パスワードが含まれる可能性があります。

WebAuthnセキュリティキーまたは生体認証要素を登録すると、ユーザーは、その特定の登録済み要素に関する情報の使用をOktaに許可するよう求められます。これにより、各FIDO2WebAuthn)要素がユーザーの[Settings(設定)]ページの[Extra Verification(追加の確認)]セクションに名前順で表示されます。

ユーザーがFIDO2WebAuthn)要素のみに登録されている場合、FIDO2WebAuthn)要素またはデバイスに問題が発生した際に、アカウントに認証できなくなるリスクがあります。デバイスの1つが故障したり、紛失したり、盗難にあったりした場合でも、ユーザーが常にOktaアカウントにアクセスできるように、以下のことを行うようユーザーに推奨します。

  • FIDO2WebAuthn)に加えて、特定のデバイスにバインドされていない他のMFA要素を設定する。
  • 複数のブラウザと複数のデバイスで、複数のWebAuthn登録を作成する。

Touch IDなどのFIDO2WebAuthn)要素の登録は、1つのデバイス上の1つのブラウザプロファイルに関連付けられます。

ユーザーがFIDO2WebAuthn)要素を複数のブラウザまたはデバイスで使用したい場合は、要素を使用するブラウザおよびデバイスごとにFIDO2WebAuthn)登録を作成する必要があることを伝えます。

たとえば、ユーザーがMicrosoft WindowsコンピューターでGoogle ChromeMozilla Firefoxブラウザを使用しており、Apple MacintoshコンピューターでGoogle ChromeApple Safariブラウザを使用している場合、これら4つのブラウザのそれぞれに新しいWebAuthn登録を作成する必要があります。

また、Google Chromeブラウザに複数のGoogleアカウントプロファイルがある場合、それらのGoogleアカウントプロファイルごとにWebAuthn登録を作成する必要があります。

さらに、*.okta.com URLでFIDO2WebAuthn)要素を有効にすると、FIDO2WebAuthn)要素は、*.okta.com URLを使用した組織へのアクセスのみを許可します。Okta組織のカスタムURLを使用してFIDO2WebAuthn)要素を有効にすると、FIDO2WebAuthn)要素は、そのカスタムURLから組織へのアクセスのみを許可します。ユーザーが両方のURLから組織にアクセスできるようにするには、両方のURLでFIDO2WebAuthn)要素を有効にする必要があります。

Passkey管理

PasskeyはFIDO2標準の実装であり、FIDO2WebAuthn)資格情報はスマートフォン、タブレット、ラップトップなどの複数のデバイスや、複数のオペレーティングシステムプラットフォームに存在する可能性があります。Passkeyを使用すると、FIDO2WebAuthn)資格情報をバックアップしたりデバイス間で同期したりできます。これによりFIDO2WebAuthn)の強力なキーベース/フィッシング不可能な認証モデルが保持され、現在一部の(WebAuthn)オーセンティケーターで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。

マネージドデバイス環境では、ユーザーはアンマネージドデバイスをPasskeyの資格情報に登録したり、そのようなデバイスを使用して企業システムへのアクセスを得たりできます。Oktaを使用すると、管理者は組織全体で新しいFIDO2WebAuthn)でのPasskeyの使用をブロックできます。この機能がオンになっている場合、ユーザーは事前登録されたPasskeyを使用して新しいアンマネージドデバイスを登録できません。管理者はセキュリティポリシーをマネージドデバイスに強制適用し、アンマネージドデバイスと侵害された可能性のあるデバイスが企業システムにアクセスするリスクに対処できます。

この機能をオンにすると、組織でのPasskeyの使用がブロックされるため、macOS Monterreyを利用するユーザーはSafariブラウザを使用してTouch IDに登録できなくなります。

Passkeyの使用をブロック

この機能はデフォルトでオフになっています。この機能をオンにすると組織でのPasskeyの使用がブロックされます。

  1. 管理コンソールで、[Settings(設定)] [Features(機能)]に移動します。

  2. [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでPasskeyをブロックする]オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが青色に変わります。

Passkeyの使用を許可

これはデフォルト設定です。この機能をオフにすると組織でPasskeyを使用できます。

  1. 管理コンソールで、[Settings(設定)] [Features(機能)]に移動します。

  2. [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでPasskeyをブロックする]オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが灰色に変わります。

WebAuthn、ブラウザ、Oktaの互換性

Oktaのテスターは、Oktaと互換性があるブラウザを判断するために、ブラウザとWebAuthn実装をテストしました。詳細については、「FIDO2(WebAuthn)の互換性」を参照してください。

関連項目

FIDO2(WebAuthn)の互換性

多要素認証

Trusted Originの構成

Trusted Origins API

ネットワークゾーン

一般的なセキュリティ

サインオン・ポリシー

HealthInsight

FIDO2(WebAuthn)の互換性