FIDO2(WebAuthn)
FIDO2(WebAuthn)要素では、指紋参照などの生体認証方法を使用して認証できます。この要素は、次の3つの認証方法をサポートしています。
- YubiKeyやGoogle Titanなどのセキュリティキー。
- デバイスに統合されていて、Windows HelloやApple Touch IDなどの生体認証データを使用するプラットフォーム認証。
- Trusted Origins APIを使用する場合、OrgのOkta URL、カスタムドメインURL、信頼済みのクロスオリジン、クロスリライングパーティーIDとは異なるURLへのサインインには、検証が必要です。「信頼済みオリジンの構成」を参照してください。
FIDO2(WebAuthn)はFIDO2 Web認証(WebAuthn)標準に準拠しています。この要素を有効にすると、エンドユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようになります。
ワンタイムパスワード(OTP)モードを使用するようにYubiKeyを設定および管理する方法については、「YubiKey(MFA)」を参照してください。
ユーザーのWebAuthnセキュリティキーの登録
ユーザーの代わりにWebAuthnセキュリティキーを登録できます。
-
Admin Consoleで、 に進みます。
- 登録するユーザーを探します。
- [Profile(プロファイル)]をクリックして、[User attributes(ユーザー属性)]ページを表示します。
- [その他のアクション]で[FIDO2セキュリティ・キーを登録]をクリックします。
- [登録]をクリックしてキーを登録します。ブラウザーまたはデバイスからキーを登録するように求められます。
- 画面の指示に従います。登録が成功すると確認のメッセージが表示されます。
現在の制限
- Google Chromeブラウザーでは、ブラウザーのアップデートが必要な場合、FIDO2(WebAuthn)要素は使用できません。WebAuth機能は、アップデートの適用後にブラウザーを再起動すると復元されます。
- 各ユーザーは最大10件のWebAuthnの登録を構成できます。
ユーザーエクスペリエンス
この要素が有効になっている場合、ユーザーはサインイン時にこの要素を選択して、追加の認証に使用できるようにセットアップすることが可能です。構成によっては、ユーザーがユーザー検証の入力を求められることもあります。この検証には、デバイスのタップに加えて、生体認証チャレンジ、PIN、パスワードが含まれる可能性があります。
WebAuthnセキュリティキーまたは生体認証要素を登録すると、ユーザーは、その特定の登録済み要素に関する情報の使用をOktaに許可するよう求められます。これにより、各FIDO2(WebAuthn)要素がユーザーの[設定]ページの[追加認証]セクションに名前順で表示されます。
ユーザーがFIDO2(WebAuthn)要素のみに登録されている場合、FIDO2(WebAuthn)要素またはデバイスに問題が発生した際に、アカウントに認証できなくなるリスクがあります。デバイスの1つが故障したり、紛失したり、盗難にあったりした場合でも、ユーザーが常にOktaアカウントにアクセスできるように、以下のことを行うようユーザーに推奨します。
- FIDO2(WebAuthn)に加えて、特定のデバイスにバインドされていない他のMFA要素を設定する。
- 複数のブラウザーと複数のデバイスで、複数のWebAuthn登録を作成する。
Touch IDなどのFIDO2(WebAuthn)要素の登録は、1つのデバイス上の1つのブラウザープロファイルに関連付けられます。
ユーザーがFIDO2(WebAuthn)要素を複数のブラウザーまたはデバイスで使用したい場合は、要素を使用するブラウザーおよびデバイスごとにFIDO2(WebAuthn)登録を作成する必要があることを伝えます。
たとえば、ユーザーがMicrosoft WindowsコンピューターでGoogle ChromeとMozilla Firefoxブラウザーを使用しており、Apple MacintoshコンピューターでGoogle ChromeとApple Safariブラウザーを使用している場合、これら4つのブラウザーのそれぞれに新しいWebAuthn登録を作成する必要があります。
また、Google Chromeブラウザーに複数のGoogleアカウントプロファイルがある場合、それらのGoogleアカウントプロファイルごとにWebAuthn登録を作成する必要があります。
さらに、*.okta.com URLでFIDO2(WebAuthn)要素を有効にすると、FIDO2(WebAuthn)要素は、*.okta.com URLを使用したOrgへのアクセスのみを許可します。OktaorgのカスタムURLを使用してFIDO2(WebAuthn)要素を有効にすると、FIDO2(WebAuthn)要素は、そのカスタムURLからOrgへのアクセスのみを許可します。ユーザーが両方のURLからOrgにアクセスできるようにするには、両方のURLでFIDO2(WebAuthn)要素を有効にする必要があります。
パスキー管理
パスキーはFIDO2標準の実装であり、FIDO2(WebAuthn)資格情報はスマートフォン、タブレット、ラップトップなどの複数のデバイスや、複数のオペレーティングシステムプラットフォームに存在する可能性があります。パスキーを使用すると、FIDO2(WebAuthn)資格情報をバックアップしたりデバイス間で同期したりできます。これによりFIDO2(WebAuthn)の強力なキーベース/フィッシング不可能な認証モデルが保持され、現在一部の(WebAuthn)オーセンティケーターで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。
管理対象デバイス環境では、ユーザーはアンマネージドデバイスをパスキーの資格情報に登録したり、そのようなデバイスを使用して企業システムへのアクセスを得たりできます。Oktaを使用すると、管理者はorg全体で新しいFIDO2(WebAuthn)でのパスキーの使用をブロックできます。この機能がオンになっている場合、ユーザーは事前登録されたパスキーを使用して新しいアンマネージドデバイスを登録できません。管理者はセキュリティポリシーをマネージドデバイスに強制適用し、アンマネージドデバイスと侵害された可能性のあるデバイスが企業システムにアクセスするリスクに対処できます。
この機能をオンにすると、Orgでのパスキーの使用がブロックされるため、macOS Monterreyを利用するユーザーはSafariブラウザーを使用してTouch IDに登録できなくなります。
パスキーの使用をブロック
この機能はデフォルトでオフになっています。この機能をオンにするとOrgでのパスキーの使用がブロックされます。
-
Admin Consoleで、 [機能]に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでパスキーをブロックする]オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが青色に変わります。
パスキーの使用を許可
これはデフォルト設定です。この機能をオフにするとOrgでパスキーを使用できます。
-
Admin Consoleで、 [機能]に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでパスキーをブロックする]オプションのトグルスイッチをクリックして切り替えます。トグルスイッチが灰色に変わります。
WebAuthn、ブラウザー、Oktaの互換性
Oktaのテスターは、Oktaと互換性があるブラウザーを判断するために、ブラウザーとWebAuthn実装をテストしました。詳細については、「FIDO2(WebAuthn)の互換性」を参照してください。