FIDO2(WebAuthn)の互換性

Oktaでは、複数のWebAuthnシナリオをテストして、ブラウザー、オペレーティングシステム、およびWebAuthnモードのどの組み合わせがOktaのユーザー検証要件と互換性があるかを判断しました。

OktaのデスクトップブラウザーでのFIDO2(WebAuthn)のサポート

WebAuthnによるOktaのユーザー検証は、次のデスクトップブラウザーおよびバージョンでテストされています。

ブラウザー
Chrome
Safari
Firefox
Internet Explorer
Edge
対応バージョン 83.0.4103.106 + 13.1 (15609.1.20.111.8) + 77.0.1 + サポート対象外 83.0.478.56 +

macOS Catalina(Touch ID

N/A

macOS Catalina(セキュリティキー)

N/A

Windows Hello

(Windows 10 v. 1903以降)

N/A

(Windows 10 v. 1809以降)

Windows(セキュリティキー)

(Windows 10 v. 1903以降)

N/A

(Windows 10 v. 1809以降)

OktaのモバイルブラウザーでのFIDO2(WebAuthn)のサポート

OktaWebAuthnによるユーザー検証は、次のモバイルブラウザーとバージョンでテストされています。

ブラウザー
Chrome
Safari
Firefox
Edge
対応バージョン 98.0.4758.97 + 15.3.1 + 98.0 + 99.0.1150.38 +
iOS(Face ID)
iOS(NFCセキュリティキー)
Android(指紋) N/A
Android(セキュリティキー) N/A

一般的な注意事項

  • Oktaでは、WebAuthnベースのユーザー検証について、組み込みWebブラウザーはサポートされていません。
  • Windowsコンピューターでは、Oktaのデフォルトのユーザー検証値が[Preferred(推奨)]である場合、PIN対応のClient to Authenticator Protocol(CTAP)2オーセンティケーターは、デバイスに何も設定されていなくても、PINの入力を強制されます。これにより、各FIDO2(WebAuthn)要素がユーザーの[Settings(設定)]ページの[Extra Verification(追加認証)]セクションに名前順で表示されます。他のオペレーティングシステムでは、[推奨(Preferred)]設定でのみPINの入力が必須になるのは、オーセンティケーターがすでに設定されている場合だけです。
  • Windows 10ビルド1903では、Windows Helloの公式のFIDO2認定はMicrosoft Edge、Google Chrome、およびMozilla Firefoxでサポートされています。それよりも前のバージョンのWindows 10では、廃止予定のWebAuthnの実装が使用されていますが、Oktaではサポートされていません。
  • PINを使用したCTAPは、YubiKey 5以降でのみサポートされます。
  • セキュリティキーをワイプすると、そのセキュリティキーデバイスからのOktaへの既存のWebAuthn登録と、Touch IDやWindows Helloなどのプラットフォームオーセンティケーターが無効になります。

ブラウザー固有の注意事項

Firefox

PINを使用したCTAP2はサポートされていません。

Chrome
  • プラットフォームオーセンティケーターとローミングオーセンティケーターが登録されていて、ユーザーが両方を使用できる場合、デフォルトではプラットフォームオーセンティケーターが表示されます。
  • PINを使用したCTAP2がサポートされています。CTAP2オーセンティケーターのPINがオーセンティケーターに登録されている場合、ChromeではPINを使用したCTAP2がサポートされます。
  • Apple Touch IDをリセットすると、既存のTouch ID WebAuthn登録は無効になります。
  • MacintoshコンピューターでApple Touch IDを非アクティブ化すると、Touch IDが再度設定されるまで、Touch IDベースのWebAuthnは登録できなくなります。
  • [Passwords and other sign-in data(パスワードとその他のログインデータ)]および[Cookies and other site data(Cookieとほかのサイトデータ)]ブラウザー設定を消去すると、WebAuthnのプラットフォームオーセンティケーターがChromeプロファイルから削除されます。Oktaの登録が無効になり、有効なオーセンティケーターインスタンスとの関連付けが解除されます。
Safari
  • Oktaは、macOS Big Sur以降を実行しているIntelベースのApple MacintoshコンピューターのSafariでAppleのTouch IDをサポートしていますが、FIDO2(WebAuthn)オーセンティケーターは、Apple M1プロセッサで動作するApple MacintoshコンピューターのSafariブラウザーを使用すると正しく機能しない場合があります。
  • ユーザー認証なしでセキュリティを確保できます。
  • PINを使用したCTAP2はサポートされていません。ユーザー検証なしのセキュリティのみに対応します。
  • WebAuthnダイアログのプロンプトはSafariユーザーには表示されません。ブラウザーはセキュリティキーの挿入を静かに待ちます。
Edge
  • 顔認証またはPINを使用してWebAuthnに登録すると、ほかのオーセンティケーターの方法(指紋の読み取りなど)も登録されます。
  • Windows Helloで顔認証(利用可能な場合)からPIN(利用可能な場合)に切り替わるまでのタイムアウトは3分です。PINのタイムアウトは約5分です。
Edge Chromium

Chromium以外の以前のバージョンのEdgeでは、ローミングオーセンティケーターとプラットフォームオーセンティケーターの両方がサポートされます。

デスクトップとモバイルのブラウザーの互換性に関する完全なリストについては、「ブラウザーの互換性」を参照してください。