FIDO2(WebAuthn)
FIDO2(WebAuthn)要素を利用することで、認証に指紋参照などの生体認証方法を利用できます。この要素でサポートされる認証方法は次のとおりです。
- YubiKeyやGoogle Titanなどのセキュリティキー。
- デバイスに統合されていて、Windows HelloやApple Touch IDなどの生体認証データを使用するプラットフォーム認証。
FIDO2(WebAuthn)はFIDO2 Web認証(WebAuthn)標準に準拠しています。この要素を有効にすると、エンドユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようになります。
orgのOkta URL、カスタムドメインURL、信頼済みのクロスオリジン、クロス証明書利用者の識別子とは異なるURLへのサインインでは、Trusted Origins APIの使用時に検証が必要になります。信頼済みオリジンを構成するを参照してください。
ワンタイムパスワード(OTP)モードを使用するようにYubiKeyをセットアップおよび管理する方法については、YubiKey(MFA)を参照してください。
ユーザーのFIDO2(WebAuthn)セキュリティキーを登録する
Oktaディレクトリに名前が表示されるユーザーに代わってセキュリティキーを登録することができます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。
-
Admin Consoleで、に進みます。
- 検索フィールドにユーザー名を入力し、入力(Enter)をクリックします。または、すべてのユーザーを表示(Show all users)をクリックし、リストでユーザーを探してユーザー名をクリックします。
- その他のアクション(More Actions)メニューからFIDO2セキュリティキーを登録(Enroll FIDO2 Security Key)を選択します。
- 登録(Register)をクリックします。ブラウザーにIDを確認(Verify your identity)プロンプトが表示されます。
- USBセキュリティキー(USB security key)オプションを選択し、ブラウザーのプロンプトに従います。
- このサイトへのセキュリティキーの公開を許可しますか?(Allow this site to see your security key?)プロンプトが表示されたら、許可(Allow)をクリックします。
- 閉じる(Close)またはほかにも登録(Register another)をクリックします。
現在の制限
- Google Chromeブラウザーでは、ブラウザーの更新が必要な場合にはFIDO2(WebAuthn)要素は使用できません。WebAuthn機能は、更新の適用後にブラウザーを再起動すると復元されます。
- 各ユーザーは最大10件のWebAuthnの登録を構成できます。
ユーザーエクスペリエンス
この要素が有効になっている場合、ユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようにセットアップすることが可能です。構成によっては、ユーザーがユーザー検証の入力を求められることもあります。この検証には、デバイスのタップに加えて、生体認証チャレンジ、PIN、パスワードが含まれる可能性があります。
WebAuthnセキュリティキーまたは生体認証要素を登録すると、ユーザーは、その特定の登録済み要素に関する情報の使用をOktaに許可するよう求められます。これにより、各FIDO2(WebAuthn)要素がユーザーの設定(Settings)ページの追加検証(Extra Verification)セクションに名前順で表示されます。
ユーザーがFIDO2(WebAuthn)要素のみに登録されている場合、FIDO2(WebAuthn)要素またはデバイスに問題が発生した際に、アカウントに認証できなくなるリスクがあります。デバイスの1つが故障したり、紛失したり、盗難にあったりした場合でも、ユーザーが常にOktaアカウントにアクセスできるように、以下のことを行うようユーザーに推奨してください。
- FIDO2(WebAuthn)に加えて、特定のデバイスにバインドされていない他のMFA要素をセットアップする。
- 複数のブラウザーと複数のデバイスで複数のWebAuthn登録を作成する。
Touch IDなどのFIDO2(WebAuthn)要素の登録は、1つのデバイス上の1つのブラウザープロファイルに関連付けられます。
ユーザーがFIDO2(WebAuthn)要素を複数のブラウザーまたはデバイスで使用したい場合は、その要素を使用するブラウザーおよびデバイスごとにFIDO2(WebAuthn)登録を作成する必要があることを伝えてください。
たとえば、ユーザーがMicrosoft WindowsコンピューターでGoogle ChromeとMozilla Firefoxブラウザーを使用しており、Apple MacintoshコンピューターでGoogle ChromeとApple Safariブラウザーを使用している場合、これら4つのブラウザーのそれぞれに新しいWebAuthn登録を作成する必要があります。
また、Google Chromeブラウザーに複数のGoogleアカウントプロファイルがある場合、それらのGoogleアカウントプロファイルごとにWebAuthn登録を作成する必要があります。
さらに、*.okta.com URLでFIDO2(WebAuthn)要素を有効にすると、FIDO2(WebAuthn)要素は、*.okta.com URLを使用したorgへのアクセスのみを許可します。OktaのorgのカスタムURLを使用してFIDO2(WebAuthn)要素を有効にすると、FIDO2(WebAuthn)要素は、そのカスタムURLからorgへのアクセスのみを許可します。ユーザーが両方のURLからorgにアクセスできるようにするには、両方のURLでFIDO2(WebAuthn)要素を有効にする必要があります。
同期可能パスキーの管理
パスキーはFIDO2標準の実装であり、FIDO2(WebAuthn)資格情報はスマートフォン、タブレット、ラップトップなどの複数のデバイスや、複数のオペレーティングシステムプラットフォームに存在する可能性があります。パスキーを使用すると、FIDO2(WebAuthn)資格情報をバックアップしたりデバイス間で同期したりできます。これによりFIDO2(WebAuthn)の強力なキーベース/フィッシング不可能な認証モデルが保持され、現在一部の(WebAuthn)Authenticatorで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。
管理対象デバイス環境では、ユーザーは管理対象外デバイスをパスキーの資格情報に登録したり、そのようなデバイスを使用して企業システムへのアクセスを得たりできます。Oktaを使用すると、管理者はorg全体で新しいFIDO2(WebAuthn)での同期パスキーの使用をブロックできます。この機能が有効な場合、ユーザーは事前に登録されたパスキーを使って新しい管理対象外デバイスを登録できません。管理者はセキュリティポリシーを管理対象デバイスに強制適用し、管理対象外デバイスや侵害された可能性のあるデバイスが企業システムにアクセスするリスクに対処できます。
この機能をオンにすると、orgでの同期パスキーの使用がブロックされるため、macOS Monterreyを利用するユーザーはSafariブラウザーを使用してTouch IDに登録できなくなります。
同期パスキーの使用をブロックする
この機能はデフォルトでオフになっています。この機能をオンにすると、orgでの同期パスキーの使用がブロックされます。
-
Admin Consoleでに移動します。
- FIDO2(WebAuthn)Authenticatorの同期パスキーのブロック(Block synced passkeys for FIDO2 (WebAuthn) Authenticators)オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが青色に変わります。
macOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。
同期パスキーの使用を許可する
これはデフォルト設定です。この機能をオフにすると、orgで同期パスキーを使用できるようになります。
-
Admin Consoleでに移動します。
- FIDO2(WebAuthn)Authenticatorの同期パスキーのブロック(Block Synced Passkeys for FIDO2 (WebAuthn) Authenticators)オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが灰色に変わります。
WebAuthn、ブラウザー、Oktaの互換性
Oktaのテスターは、Oktaと互換性があるブラウザーを判断するためにブラウザーとWebAuthn実装をテストしました。詳細については、FIDO2(WebAuthn)のサポートと動作を参照してください。
関連項目
FIDO2(WebAuthn)のサポートと動作