FIDO2(WebAuthn)
FIDO2(WebAuthn)要素では、指紋読み取りなどの生体認証方法を使用して認証できます。この要素は、次の3つの認証方法をサポートしています。
- YubiKeyやGoogle Titanなどのセキュリティキー。
- デバイスに統合されていて、Windows HelloやApple Touch IDなどの生体認証データを使用するプラットフォーム認証。
- 組織のOkta URLまたはカスタムドメインURLとは異なるURLへのサインイン、または Trusted Origins APIを使用する際の信頼済みのクロスオリジンおよびクロスリライングパーティーID検証。「Trusted Originsの構成」を参照してください。
FIDO2(WebAuthn)はFIDO2 Web認証(WebAuthn)標準に準拠しています。この要素を有効にすると、エンドユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようになります。
ワンタイムパスワード(OTP)モードを使用するようにYubiKeyを設定および管理する方法については、「YubiKey(MFA)」を参照してください。
ユーザーのWebAuthnセキュリティキーの登録
ユーザーの代わりにWebAuthnセキュリティキーを登録できます。
-
管理コンソールで、[Directory(ディレクトリ)] > [People(ユーザー)]に進みます。
- 登録するユーザーを探します。
- [Profile(プロファイル)]をクリックして、[User attributes(ユーザー属性)]ページを表示します。
- [その他のアクション]で[FIDO2セキュリティ・キーを登録]をクリックします。
- [登録]をクリックしてキーを登録します。ブラウザーまたはデバイスからキーを登録するように求められます。
- 画面の指示に従います。登録が成功すると確認のメッセージが表示されます。
現在の制限
- Google Chromeブラウザでは、ブラウザのアップデートが必要な場合、FIDO2(WebAuthn)要素は使用できません。WebAuth機能は、アップデートの適用後にブラウザを再起動すると復元されます。
- 各ユーザーは最大10件のWebAuthnの登録を構成できます。
ユーザーエクスペリエンス
この要素が有効になっている場合、ユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようにセットアップすることが可能です。構成によっては、ユーザーがユーザー検証の入力を求められることもあります。この検証には、デバイスのタップに加えて、生体認証チャレンジ、PIN、パスワードが含まれる可能性があります。
WebAuthnセキュリティキーまたは生体認証要素を登録すると、ユーザーは、その特定の登録済み要素に関する情報の使用をOktaに許可するよう求められます。これにより、各FIDO2(WebAuthn)要素がユーザーの[Settings(設定)]ページの[Extra Verification(追加の確認)]セクションに名前順で表示されます。
ユーザーがFIDO2(WebAuthn)要素のみに登録されている場合、FIDO2(WebAuthn)要素またはデバイスに問題が発生した際に、アカウントに認証できなくなるリスクがあります。このリスクを軽減するには、デバイスの1つが誤動作したり、紛失や盗難にあった場合にOktaアカウントに常にアクセスできるように、FIDO2(WebAuthn)に加えて、特定のデバイスにバインドされていないほかのMFA要素をセットアップし、複数のブラウザと複数のデバイスで複数のWebAuthn登録を作成することをユーザーに推奨します。
Touch IDなどのFIDO2(WebAuthn)要素の登録は、1つのデバイス上の1つのブラウザプロファイルに関連付けられます。
ユーザーがFIDO2(WebAuthn)要素を複数のブラウザーまたはデバイスで使用したい場合は、要素を使用するブラウザーおよびデバイスごとに新しいFIDO2(WebAuthn)登録を作成する必要があることを伝えます。
たとえば、ユーザーがMicrosoft WindowsコンピューターでGoogle ChromeとMozilla Firefoxブラウザーを使用しており、Apple MacintoshコンピューターでGoogle ChromeとApple Safariブラウザを使用している場合、これら4つのブラウザーのそれぞれに新しいWebAuthn登録を作成する必要があります。
また、Google Chromeブラウザに複数のGoogleアカウントプロファイルがある場合、それらのGoogleアカウントプロファイルごとに新しいWebAuthn登録を作成する必要があります。
Passkey管理
Passkeyは、複数のオペレーショティングシステムプラットフォーム間や、スマートフォン、タブレット、ラップトップなどの複数デバイスでFIDO資格情報が存在する場合があるFIDO2標準の実装です。Passkeyがあると、WebAuthn資格情報をバックアップしたりデバイス間で同期したりできます。これによりWebAuthn/FIDOの強力なキーベース/フィッシング不可能な認証モデルが保持され、現在一部のWebAuthnオーセンティケーターで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。
マネージドデバイス環境では、ユーザーはアンマネージドデバイスをPasskeyの資格情報に登録したり、そのようなデバイスを使用して企業システムへのアクセスを得たりできます。Oktaを使用すると、管理者は組織全体で新しい FIDO2(WebAuthn)でのPasskeyの使用をブロックできます。この機能がオンになっている場合、ユーザーは事前登録されたPasskeyを使用して新しいアンマネージドデバイスを登録できません。管理者はセキュリティポリシーをマネージドデバイスに強制適用し、アンマネージドデバイスと侵害された可能性のあるデバイスが企業システムにアクセスするリスクに対処できます。
この機能をオンにすると組織でのPasskeyの使用がブロックされるため、macOS Monterreyを利用するユーザーはSafariブラウザを使用してTouch IDに登録できなくなります。
Passkeyの使用をブロック
この機能はデフォルトでオフになっています。この機能をオンにすると組織でのPasskeyの使用がブロックされます。
-
管理コンソールで、[Settings(設定)] > [Features(機能)]に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでPasskeyをブロックする]オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが青色に変わります。
Passkeyの使用を許可
これはデフォルト設定です。この機能をオフにすると組織でPasskeyを使用できます。
-
管理コンソールで、[Settings(設定)] > [Features(機能)]に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでPasskeyをブロックする]オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが灰色に変わります。
WebAuthn、ブラウザとOktaの互換性
Oktaのテスターは、Oktaと互換性があるブラウザーを判断するために、ブラウザーとWebAuthn実装をテストしました。詳細については、「FIDO2(WebAuthn)の互換性」を参照してください。