パスキー（FIDO2 WebAuthn） Authenticatorを構成する

パスキー（FIDO2 WebAuthn） Authenticatorでは、セキュリティキー、または指紋参照や顔認証などの生体認証方式を使ってユーザーを認証できます。パスキー（FIDO2 WebAuthn）はFIDO2 Web認証（WebAuthn）標準に準拠しています。このAuthenticatorを有効にすると、ユーザーはOktaへのサインイン時にそれで認証したり、追加の認証に使用したりできます。

このAuthenticatorは、パスキー（FIDO2 WebAuthn）実装の管理に役立ついくつかのオプション機能を提供します。

• Oktaで機能するAuthenticatorのリストを検索して、機器の購入計画やorgで使用できるAuthenticatorを指定します。
• 独自のカスタムauthenticatorを追加します。
• Authenticatorのグループを作成し、ポリシーで使用します。
• ユーザーのオンボーディングの一部として、パスキーの管理やFIDO2セキュリティキーの登録を行います。

パスキー（FIDO2 WebAuthn）は所有と生体認証の要素であり、フィッシング耐性、ユーザーのプレゼンス状態の要件を満たします。構成によっては、デバイスバウンドとハードウェア保護に関する要件も満たすことができます。多要素認証を参照してください。

開始する前に

• パスキー（FIDO2 WebAuthn）Authenticatorをサポートしているブラウザーと使用上の考慮事項を確認します。「 パスキー（FIDO2 WebAuthn）のサポートと動作」を参照してください。

• FIDO Metadata Service（MDS）のAuthenticator Attestation Global Unique Identifier（AAGUID）のAuthenticatorリストを確認します。セキュリティキーの取得や環境へのデプロイを行う前に、Oktaで使用できるセキュリティキーを確認してください。AuthenticatorがFIDO MDS AAGUIDリストに表示されないときは、カスタムAAGUIDリストに追加できます。FIDO MDSとカスタムauthenticatorのレビューと管理を参照してください。

• サポートされるAuthenticatorのリストをAAGUIDリストで確認します。セキュリティキーの取得や環境へのデプロイを行う前に、Oktaで使用できるセキュリティキーを確認してください。
• ブラウザーの要件を確認します。
  • Chromeを最新バージョンに更新します。ブラウザーが更新を必要とする状態ではパスキー（FIDO2 WebAuthn）Authenticatorを使用できません。
  • パスキー（FIDO2 WebAuthn）Authenticatorを複数のブラウザーと複数のデバイスに登録するようエンドユーザーに奨励してください。1ブラウザーに1登録のユーザーは、ブラウザーがセキュリティ方式をブロックした場合、またはデバイスを紛失した場合に認証できなくなります。
• システムの要件を確認します。
  • FIDO2（WebAuthn）Authenticatorは、MFA Credential Provider for Windowsではサポートされません。パスキー（FIDO2 WebAuthn）
  • 同期可能なパスキーの使用をorgでブロックすると、macOS Montereyを利用するユーザーはSafariブラウザーを使ってTouch IDに登録できなくなります。
  • 同期可能なパスキーの使用をorgでブロックすると、iOS 16で動作しているiPhoneのユーザーはパスキー（FIDO2 WebAuthn）Authenticatorを使用できなくなります。Okta FastPassを有効にするか、NFCまたはUSB-Cをサポートするセキュリティキーを有効にしてください。iOS 16で動作しているデバイスの登録は、パスキー以外の目的について同期可能なパスキーの使用をブロックした後にサポートされます。
  • パスキー（FIDO2 WebAuthn） Authenticatorは、最初に登録された特定のOkta org URLに制限されます。カスタムURLを含めて複数のOkta org URLがある場合は、このAuthenticatorをそれぞれのorgとURLに追加する必要があります。
  • 2022年11月30日より前に追加されたセキュリティキーは再登録してください。

使用の開始