FIDO2(WebAuthn)の互換性

Oktaでは、複数のWebAuthnシナリオをテストして、ブラウザー、オペレーティングシステム、およびWebAuthnモードのどの組み合わせがOktaのユーザー検証要件と互換性があるかを判断しました。

OktaのデスクトップブラウザーでのFIDO2(WebAuthn)のサポート

WebAuthnによるOktaのユーザー検証は、次のデスクトップブラウザーおよびバージョンでテストされています。

ブラウザー
Chrome
Safari
Firefox
Internet Explorer
Edge
対応バージョン 83.0.4103.106 + 13.1 (15609.1.20.111.8) + 77.0.1 + サポート対象外 83.0.478.56 +

macOS Catalina(Touch ID

 N/A

macOS Catalina(セキュリティキー)

 N/A

Windows Hello

(Windows 10 v. 1903以降)

 N/A

(Windows 10 v. 1809以降)

Windows(セキュリティキー)

(Windows 10 v. 1903以降)

N/A

(Windows 10 v. 1809以降)

OktaのモバイルブラウザーでのFIDO2(WebAuthn)のサポート

OktaWebAuthnによるユーザー検証は、次のモバイルブラウザーとバージョンでテストされています。

ブラウザー
Chrome
Safari
Firefox
Edge
対応バージョン 98.0.4758.97 + 15.3.1 + 98.0 + 99.0.1150.38 +
iOS(Face ID)
iOS(NFCセキュリティキー)
Android(指紋) N/A
Android(セキュリティキー) N/A

一般的な注意事項

  • Oktaでは、WebAuthnベースのユーザー検証について、組み込みWebブラウザーはサポートされていません。
  • Windowsコンピューターでは、Oktaのデフォルトのユーザー検証値が[Preferred(推奨)]である場合、PIN対応のClient to Authenticator Protocol(CTAP)2 Authenticatorは、デバイスに何も設定されていなくても、PINの入力を強制されます。これにより、各FIDO2WebAuthn)要素がユーザーの[Settings(設定)]ページの[Extra Verification(追加検証)]セクションに名前順で表示されます。他のオペレーティング・システムでは、「Preferred(優先)」の設定でPINの入力が必須になるのは、AuthenticatorにすでにPINが設定されている場合だけです。
  • Windows 10 build 1903の時点で、Windows Hello用の正式なFIDO2認定は、Microsoft Edge、Google Chrome、およびMozilla Firefoxでサポートされています。それよりも前のバージョンのWindows 10では、廃止予定のWebAuthnの実装が使用されており、Oktaではサポートされていません。
  • PINを使用したCTAPは、YubiKey 5以降でのみサポートされます。
  • セキュリティキーをワイプすると、そのセキュリティキーデバイスからのOktaへの既存のWebAuthn登録と、Touch IDやWindows HelloなどのプラットフォームAuthenticatorが無効になります。

セキュリティキーの登録に関する注記

AAGUIDベースの許可リストを使用する場合、セキュリティキーの登録にはいくつかの制限があります。

  • FIDO U2Fを使用した登録はサポートされていません。
  • 現在、Firefoxでは登録はサポートされていません。
  • 現在、Chromeでは、[User Verification(ユーザー検証)][Discouraged(非推奨)]に設定され、セキュリティ キーにPINが設定されている場合、登録はサポートされていません。
  • 登録中にプロンプトが表示された場合、Oktaでセキュリティキーのメーカーとモデルを確認できるようにする必要があります。

ブラウザー固有の注意事項

Firefox
  • PINを使用したCTAP2はサポートされていません。
Chrome
  • プラットフォームAuthenticatorとローミングAuthenticatorが登録されていて、ユーザーが両方を使用できる場合、デフォルトではプラットフォームAuthenticatorが表示されます。
  • PINを使用したCTAP2がサポートされています。CTAP2AuthenticatorのPINがAuthenticatorに登録されている場合、ChromeではPINを使用したCTAP2がサポートされます。
  • Apple Touch IDをリセットすると、既存のTouch ID WebAuthn登録は無効になります。
  • MacintoshコンピューターでApple Touch IDを非アクティブ化すると、Touch IDが再度設定されるまで、Touch IDベースのWebAuthnは登録できなくなります。
  • [Passwords and other sign-in data(パスワードとその他のログインデータ)]および[Cookies and other site data(Cookieとほかのサイトデータ)]ブラウザー設定を消去すると、WebAuthnのプラットフォームAuthenticatorがChromeプロファイルから削除されます。Oktaの登録が無効になり、有効なAuthenticatorインスタンスとの関連付けが解除されます。
Safari
  • Oktaでは、macOS Big Sur以降を実行しているIntelベースのApple Macintoshコンピューター上のSafariでAppleのTouch IDをサポートしています。Apple M1プロセッサーを搭載したApple MacintoshコンピューターでSafariブラウザーを使用すると、FIDO2WebAuthn)Authenticatorが正しく機能しないことがあります。
  • ユーザー検証なしでセキュリティを確保できます。
  • PINを使用したCTAP2はサポートされていません。ユーザー検証なしでのセキュリティのみを確保できます。
  • Safariユーザーに対してWebAuthnダイアログプロンプトを表示しないでください。ブラウザーはセキュリティキーの挿入をサイレントで待機します。
Edge
  • 顔認証またはPINを使用してWebAuthnに登録すると、ほかのAuthenticatorの方法(指紋の参照など)も登録されます。
  • Windows Helloで顔認証(利用可能な場合)からPIN(利用可能な場合)に切り替わるまでのタイムアウトは3分です。PINのタイムアウトは約5分です。
Edge Chromium

Chromium以外の以前のバージョンのEdgeでは、ローミングAuthenticatorとプラットフォームAuthenticatorの両方がサポートされます。

デスクトップとモバイルのブラウザーの互換性に関する完全なリストについては、「ブラウザーの互換性」を参照してください。