FIDO2（WebAuthn）

FIDO2（WebAuthn）要素を利用することで、認証に指紋参照などの生体認証方法を利用できます。この要素でサポートされる認証方法は次のとおりです。

YubiKeyやGoogle Titanなどのセキュリティキー。
デバイスに統合されていて、Windows HelloやApple Touch IDなどの生体認証データを使用するプラットフォーム認証。

FIDO2（WebAuthn）は、FIDO2 Web認証（WebAuthn）標準に準拠しています。この要素を有効にすると、エンドユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようになります。

orgのOkta URL、カスタムドメインURL、信頼済みのクロスオリジン、クロス証明書利用者の識別子とは異なるURLへのサインインでは、Trusted Origins APIの使用時に検証が必要になります。「信頼済みオリジンを構成する」を参照してください。

ワンタイムパスワード（OTP）モードを使用するようにYubiKeyをセットアップおよび管理する方法については、「YubiKey（MFA）」を参照してください。

ユーザーのFIDO2（WebAuthn）セキュリティキーを登録する

Oktaディレクトリに名前が表示されるユーザーに代わって他者がセキュリティキーを登録することができます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。

Admin Consoleで［Directory（ディレクトリ）］［People（ユーザー）］に移動します。
検索フィールドにユーザー名を入力し、［Enter（入力）］をクリックします。または、［Show all users（すべてのユーザーを表示）］をクリックし、リストでユーザーを探してユーザー名をクリックします。
［More Actions（その他のアクション）］メニューから［Enroll FIDO2 Security Key（FIDO2セキュリティキーを登録）］を選択します。
［Register（登録）］をクリックします。ブラウザーに［Verify your identity（IDを確認）］プロンプトが表示されます。
［USB security key（USBセキュリティキー）］オプションを選択し、ブラウザーのプロンプトに従います。
［このサイトへのセキュリティキーの公開を許可しますか？］プロンプトが表示されたら、［Allow（許可）］をクリックします。
［Close（閉じる）］または［Register another（ほかにも登録）］をクリックします。

現在の制限

Google Chromeブラウザーでは、ブラウザーの更新が必要な場合、FIDO2（WebAuthn）要素は使用できません。WebAuth機能は、更新の適用後にブラウザーを再起動すると復元されます。
各ユーザーは最大10件のWebAuthnの登録を構成できます。

ユーザーエクスペリエンス

この要素が有効になっている場合、ユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようにセットアップすることが可能です。構成によっては、ユーザーがユーザー検証の入力を求められることもあります。この検証には、デバイスのタップに加えて、生体認証チャレンジ、PIN、パスワードが含まれる可能性があります。

WebAuthnセキュリティキーまたは生体認証要素を登録すると、ユーザーは、その特定の登録済み要素に関する情報の使用をOktaに許可するよう求められます。これにより、各FIDO2（WebAuthn）要素がユーザーの［Settings（設定）］ページの［Extra Verification（追加検証）］セクションに名前順で表示されます。

ユーザーがFIDO2（WebAuthn）要素のみに登録されている場合、FIDO2（WebAuthn）要素またはデバイスに問題が発生した際に、アカウントに認証できなくなるリスクがあります。デバイスの1つが故障したり、紛失したり、盗難にあったりした場合でも、ユーザーが常にOktaアカウントにアクセスできるように、以下のことを行うようユーザーに推奨します。

FIDO2（WebAuthn）に加えて、特定のデバイスにバインドされていない他のMFA要素を設定する。
複数のブラウザーと複数のデバイスで、複数のWebAuthn登録を作成する。

Touch IDなどのFIDO2（WebAuthn）要素の登録は、1つのデバイス上の1つのブラウザープロファイルに関連付けられます。

ユーザーがFIDO2（WebAuthn）要素を複数のブラウザーまたはデバイスで使用したい場合は、要素を使用するブラウザーおよびデバイスごとにFIDO2（WebAuthn）登録を作成する必要があることを伝えます。

たとえば、ユーザーがMicrosoft WindowsコンピューターでGoogle ChromeとMozilla Firefoxブラウザーを使用しており、Apple MacintoshコンピューターでGoogle ChromeとApple Safariブラウザーを使用している場合、これら4つのブラウザーのそれぞれに新しいWebAuthn登録を作成する必要があります。

また、Google Chromeブラウザーに複数のGoogleアカウントプロファイルがある場合、それらのGoogleアカウントプロファイルごとにWebAuthn登録を作成する必要があります。

さらに、*.okta.com URLでFIDO2（WebAuthn）要素を有効にすると、FIDO2（WebAuthn）要素は、*.okta.com URLを使用したorgへのアクセスのみを許可します。OktaorgのカスタムURLを使用してFIDO2（WebAuthn）要素を有効にすると、FIDO2（WebAuthn）要素は、そのカスタムURLからorgへのアクセスのみを許可します。ユーザーが両方のURLからorgにアクセスできるようにするには、両方のURLでFIDO2（WebAuthn）要素を有効にする必要があります。

同期可能パスキーの管理

パスキーはFIDO2標準の実装であり、FIDO2（WebAuthn）資格情報はスマートフォン、タブレット、ラップトップなどの複数のデバイスや、複数のオペレーティングシステムプラットフォームに存在する可能性があります。パスキーを使用すると、FIDO2（WebAuthn）資格情報をバックアップしたりデバイス間で同期したりできます。これによりFIDO2（WebAuthn）の強力なキーベース/フィッシング不可能な認証モデルが保持され、現在一部の（WebAuthn）Authenticatorで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。

管理対象デバイス環境では、ユーザーは管理対象外デバイスをパスキーの資格情報に登録したり、そのようなデバイスを使用して企業システムへのアクセスを得たりできます。Oktaを使用すると、管理者はorg全体で新しいFIDO2（WebAuthn）での同期パスキーの使用をブロックできます。この機能が有効な場合、ユーザーは事前に登録されたパスキーを使って新しい管理対象外デバイスを登録できません。管理者はセキュリティポリシーを管理対象デバイスに強制適用し、管理対象外デバイスと侵害された可能性のあるデバイスが企業システムにアクセスするリスクに対処できます。

この機能をオンにすると、orgでの同期パスキーの使用がブロックされるため、macOS Monterreyを利用するユーザーはSafariブラウザーを使用してTouch IDに登録できなくなります。

同期パスキーの使用をブロックする

この機能はデフォルトでオフになっています。この機能をオンにするとorgでの同期パスキーの使用がブロックされます。

Admin Consoleで［Settings（設定）］［Features（機能）］に移動します。
［FIDO2（WebAuthn）Authenticatorの同期パスキーのブロック］オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが青色に変わります。

macOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。

同期パスキーの使用を許可する

これはデフォルト設定です。この機能をオフにするとorgで同期パスキーを使用できます。

Admin Consoleで［Settings（設定）］［Features（機能）］に移動します。
［FIDO2（WebAuthn）Authenticatorの同期パスキーのブロック］オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが灰色に変わります。

WebAuthn、ブラウザー、Oktaの互換性

Oktaのテスターは、Oktaと互換性があるブラウザーを判断するために、ブラウザーとWebAuthn実装をテストしました。詳細については、「FIDO2（WebAuthn）のサポートと動作］を参照してください。