WebAuthn(多要素認証)

FIDO2 Web認証(WebAuthn)は、さまざまなサイトやデバイスでWeb上のユーザーを安全に認証するために使用される、Webブラウザーおよび関連するWebプラットフォーム・インフラストラクチャに組み込まれている標準のWeb APIです。FIDO2 WebAuthn標準の詳細については、FIDO2プロジェクトのページを参照してください。

FIDO2(WebAuthn)を多要素認証(MFA)のオプションとして構成できます。WebAuthn標準は、WebAuthn専用に有効化および構成された多要素認証 要素を使用して認証する新しい方法をユーザーに提供します。WebAuthnオーセンティケーターを構成する場合は、ユーザーがOktaにサインインするときに追加の検証が必要になります。ユーザーは同じWebAuthnオーセンティケーターのインスタンスを最大10個登録できます。ユーザーは、サインイン・ウィジェットまたはエンド・ユーザー・ダッシュボードの設定からセットアップを行います。

ユーザーがOktaにサインインするときに[セキュリティー・キーまたは生体認証オーセンティケーター]を選択すると、Oktaに正常にサインインするために、WebAuthnオーセンティケーターを登録するように求められます。ユーザーはブラウザーの画面に表示される追加のプロンプトまたはOSの指示に従って認証を行います。

Okta管理コンソールでのWebAuthnの構成

注

:エンド・ユーザーがWebAuthnオーセンティケーター(MacintoshコンピューターとiPhoneのTouch ID、iPhoneのFace ID、Windows Hello、Androidの指紋認証またはPIN、その他のデバイス固有のオーセンティケーター)でしか登録していないと、WebAuthnオーセンティケーターで問題が発生した場合に自分のアカウントを認証できなくなるリスクがあります。このリスクを軽減するために、Oktaでは、特定のデバイスに依存しないWebAuthn以外の要素を設定するようにユーザーに許可し、それらの追加の要素とオーセンティケーターをバックアップとして設定するように管理者から促すことを推奨しています。

WebAuthnの認証のサポート

  • YubiKeyやGoogle Titanなどのセキュリティー・キーによる認証
  • Windows HelloやApple Touch IDなどの組み込みのオーセンティケーターによる認証
  • 信頼できるオリジンAPIを使用する場合の信頼されたクロス・オリジンおよびクロス・リライング・パーティーID(RP ID)の検証。組織は、組織のOktaまたはカスタム・ドメインURLとは異なる信頼できるオリジンでホストされているサインイン・ページにWebAuthnを使用できます。「 」を参照してください。

    注

    WebAuthnにはhttpsプロトコルが必要です。このユースケースで信頼できるオリジンを構成する場合は、必ずhttps(httpは不可)を指定してください。

WebAuthnのWebブラウザーのサポート

WebAuthnは、Chrome、Firefox、Edgeの各ブラウザーでサポートされていますが、サポート内容はそれぞれ異なります。U2Fトークン(Yubicoが提供するトークンなど)を使用した資格情報の作成とアサーションは、3つのいずれのブラウザーでもサポートしています。デスクトップとモバイルのブラウザーの互換性に関する完全なリストについては、「Browser Compatibility」を参照してください。

注

組み込みのWebブラウザーが常にWebAuthnをサポートしているわけではありません。

Firefox
  • Windows 10 build 1903以降でWindows Helloがサポートされます。
  • Apple Touch IDは完全にはサポートされていません。
  • PINを使用したCTAP2はサポートされていません。
Chrome
  • プラットフォーム・オーセンティケーター(Touch IDなど)とセキュリティ・キーがサポートされます。
  • プラットフォーム・オーセンティケーターとローミング・オーセンティケーターが登録されていて、ユーザーが両方を使用できる場合、プラットフォーム・オーセンティケーターがデフォルトで表示されます。
  • CTAP2オーセンティケーターのPINがオーセンティケーターに登録されている場合、ChromeではPINを使用したCTAP2がサポートされます。
  • Apple Touch IDをリセットすると、Touch IDを使用した既存のWebAuthn登録は無効になります。
  • Apple Touch IDを非アクティブ化すると、Touch IDが再度セットアップされるまで、Touch IDベースのWebAuthn要素のインスタンスは登録できなくなります。
  • [パスワードとその他のログインデータ]を消去すると、WebAuthnのプラットフォーム・オーセンティケーターがChromeプロファイルから削除されます。Oktaの登録が古いものとして無効になり、有効なオーセンティケーター・インスタンスとの関連付けが解除されます。[Cookie と他のサイトデータ]を消去した場合も同じです。
Safari
  • Oktaは、macOS Big Surを実行しているデバイスでAppleのTouch IDをサポートしています。
  • PINを使用したCTAP2はまだサポートされていません(2019年10月25日現在)。ユーザー検証なしのセキュリティーのみに対応しています。
  • WebAuthnのダイアログはなく、セキュリティ・キーの入力時にプロンプトは表示されません。
Edge
  • Windowsでプラットフォーム・オーセンティケーター(Windows Hello)とセキュリティ・キーがサポートされます。
  • 顔認証またはPINを使用してWebAuthnに登録すると、他のオーセンティケーターの方法(指紋センサーなど)も登録されます。
  • Windows Helloで顔認証(利用可能な場合)からPIN(利用可能な場合)に切り替わるまでのタイムアウトは3分です。PINのタイムアウトは約5分です。
Edge Chromium
  • ローミング・オーセンティケーターのみがサポートされます。Touch IDとWindows Helloはサポートされていません。
  • Chromium以外の以前のバージョンのEdgeでは、ローミング・オーセンティケーターとプラットフォーム・オーセンティケーターの両方がサポートされます。
一般
  • セキュリティー・キーまたは生体認証オーセンティケーター(WebAuthn)を登録すると、エンド・ユーザーは、その特定の登録済み要素に関する情報の使用をOktaに許可するよう求められます。これにより、各WebAuthn要素の名前がエンド・ユーザーの[設定]ページの[追加認証]セクションに表示されるようになります。
  • Windows 10 OS v 1809以降では、Edgeブラウザーでのみ、Windows Helloとセキュリティ・キーによるWebAuthnがサポートされます。
  • Windows 10 OS v 1903以降では、Edge、Chrome、Firefoxの各ブラウザーで、Windows Helloとセキュリティ・キーによるWebAuthnがサポートされます。
  • 一般にWindowsでは、デフォルトのユーザー検証の値「preferred」により、デバイスに何も設定されていない場合でも、PIN対応のすべてのCTAP2オーセンティケーターでPINの入力が必須になります(本質的にセットアップが必須になります)。
  • 他のオペレーティング・システムでは、「preferred」の設定でPINの入力が必須になるのは、オーセンティケーターにすでにPINが設定されている場合だけです。
  • PINを使用したCTAPは、YubiKey 5以降でのみサポートされます。
  • セキュリティ・キーをワイプすると、そのセキュリティ・キー・デバイスからのOktaへの既存のWebAuthn登録と、Touch IDやWindows Helloなどのプラットフォーム・オーセンティケーターが無効になります。

WebAuthnのWindows 10のサポート

Windows Helloの正式なFIDO2認定は、Windows 10 build 1903からで、サポートされるWebブラウザーはMicrosoft Edge、Google Chrome、およびMozilla Firefoxです。それよりも前のバージョンのWindows 10では廃止予定のWebAuthnの実装が使用されていますが、Oktaではサポートされていません。

エンド・ユーザーのWebAuthnセキュリティ・キーの登録

エンド・ユーザーの代わりにWebAuthnセキュリティ・キーを登録できます。

  1. [プロファイル]をクリックしてユーザー属性ページを表示します。
  2. [その他のアクション][FIDO2セキュリティ・キーを登録]をクリックします。
  3. [登録]をクリックしてキーを登録します。ブラウザーまたはデバイスからキーを登録するように求められます。
  4. 画面の指示に従います。登録が成功すると確認のメッセージが表示されます。

エンド・ユーザー・エクスペリエンス

管理者が組織の構成で[ユーザー検証]を[非推奨]に設定している場合、WebAuthn要素を登録するエンド・ユーザーには、登録する要素のWebAuthn登録名は表示されません。通常、これらは「オーセンティケーター」としてリストされ、要素に関する他の詳細は提供されません。

関連項目

多要素認証(MFA)

信頼できるオリジンAPI

ネットワーク・ゾーン

一般的なセキュリティー

サインオン・ポリシー

HealthInsight