FIDO2(WebAuthn)オーセンティケーターの構成
FIDO2(WebAuthn)オーセンティケーターでは、指紋読み取りなどの生体認証方法を使用して認証できます。このオーセンティケーターは、次の2つの認証方法をサポートしています。
- YubiKeyやGoogle Titanなどのセキュリティキー。
- デバイスに統合されていて、Windows HelloやApple Touch IDなどの生体認証データを使用するプラットフォーム認証。
FIDO2(WebAuthn)はFIDO2 Web認証(WebAuthn)標準に準拠しています。このオーセンティケーターを有効にすると、エンドユーザーはサインイン時にこのオーセンティケーターを選択して、追加の認証に使用できるようになります。
ワンタイムパスワード(OTP)モードを使用するようにYubiKeyをセットアップおよび管理する方法については、「YubiKey OTPをワンタイムパスワード用に構成する」を参照してください。
オーセンティケーターとしてFIDO2(WebAuthn)を追加する
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [FIDO2(WebAuthn)]タイルの[Add(追加)]をクリックします。
- [User Verification(ユーザー検証)]設定を選択します:
- [Discouraged(非推奨)](デフォルト):ユーザーがFIDO2(WebAuthn)オーセンティケーターに登録する際、ユーザー検証を求められません。これは、さまざまなオペレーティングシステムからサインインするエンドユーザーに対して一貫したエクスペリエンスを提供するためのデフォルト設定です。
- [Preferred(推奨)]:オーセンティケーターがユーザー検証をサポートしていても必須にしていない場合、ユーザーはオーセンティケーターに登録する際にユーザー検証を入力するように求められます。
- [Required(必須)]:ユーザーは、FIDO2(WebAuthn)オーセンティケーターに登録する際に常にユーザー検証の入力を求められます。ユーザーは、ユーザー検証をサポートしているオーセンティケーターに登録する必要があります。
[Discouraged(非推奨)]および[Preferred(推奨)]の設定は、ユーザー検証をサポートしていても必須にしていないオーセンティケーターでのみ機能します。常にユーザー検証を必要とするオーセンティケーター(Touch IDを使用するFIDO2(WebAuthn)など)では、[Discouraged(非推奨)]と[Preferred(推奨)]は無効になります。
- [Add(追加)]をクリックします。
予備の手段として、特定のデバイスにバインドされていないオーセンティケーターも追加するようエンドユーザーに促します。エンドユーザーがオーセンティケーターを1つしかセットアップしておらず、それが携帯電話にある場合、携帯電話を紛失すると、認証を完了したり、別の方法を使用したりすることはできません。
ユーザーのFIDO2セキュリティキーを登録する
管理者は、名前がOktaディレクトリに表示されるユーザーに代わってセキュリティ・キーを登録できます。
- Okta Admin Consoleで、[Directory(ディレクトリ)]>[People(ユーザー)]に進みます。
- 検索フィールドをクリックし、ユーザー名の一部の文字を入力してEnterを押します。または、[Show all users(すべてのユーザーを表示)]をクリックし、リストでユーザーを見つけて、ユーザーの名前をクリックします。そのユーザーのページが表示されます。
- [More Actions(その他のアクション)]メニューから、[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]を選択します。[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]ダイアログが表示されます。
- [Enrollment(登録)]をクリックします。[Verify your identity(IDを確認)]プロンプトがブラウザーに表示されます。
- [USB security key(USBセキュリティキー)]オプションを選択し、ブラウザーのプロンプトに従います。
- [Allow this site to see your security key?(このサイトへのセキュリティキーの公開を許可しますか?)]プロンプトが表示されたら、[Allow(許可)]をクリックします。
- [Close(閉じる)]または[Register another(ほかにも登録)]をクリックします。
現在の制限
- ハードウェア保護はサポートされていますが、デバイスと実装によって異なります。
- ハードウェア保護の使用の有無に関する判断はサポートされていません。
- エンドユーザーに代わってFIDO2(WebAuthn)オーセンティケーターを登録することはできません。
- Apple M1プロセッサーを搭載したApple MacintoshコンピューターでSafariブラウザーを使用すると、FIDO2(WebAuthn)オーセンティケーターが正しく機能しないことがあります。
- Google Chromeブラウザーでは、ブラウザーのアップデートが必要な場合、FIDO2(WebAuthn)オーセンティケーターは使用できません。FIDO2(WebAuthn)機能は、アップデートの適用後にブラウザーを再起動すると復元されます。
エンドユーザーエクスペリエンス
このオーセンティケーターが有効になっている場合、エンドユーザーはサインイン時にこのオーセンティケーターを選択して、追加の認証に使用できるようにセットアップすることが可能です。構成によっては、エンドユーザーがユーザー検証の入力を求められることもあります。この検証には、デバイスのタップに加えて、生体認証チャレンジ、PIN、パスワードが含まれる可能性があります。
WebAuthnセキュリティキーまたは生体認証オーセンティケーターを登録すると、エンドユーザーは、その特定の登録済みオーセンティケーターに関する情報の使用をOktaに許可するよう求められます。これにより、各FIDO2(WebAuthn)オーセンティケーターがエンドユーザーの[Settings(設定)]ページの[Extra Verification(追加の確認)]セクションに名前順で表示されます。
ユーザーがFIDO2(WebAuthn)オーセンティケーターのみに登録されている場合、FIDO2(WebAuthn)オーセンティケーターまたはデバイスに問題が発生した際に、アカウントに認証できなくなるリスクがあります。このリスクを軽減するには、デバイスの1つが誤動作したり、紛失や盗難にあった場合にOktaアカウントに常にアクセスできるように、FIDO2(WebAuthn)に加えて、特定のデバイスにバインドされていないほかのMFAオーセンティケーターをセットアップし、複数のブラウザーと複数のデバイスで複数のWebAuthn登録を作成することをユーザーに推奨します。
Touch IDなどのFIDO2(WebAuthn)オーセンティケーターの登録は、1つのデバイス上の1つのブラウザー・プロファイルに関連付けられます。
ユーザーがFIDO2(WebAuthn)オーセンティケーターを複数のブラウザーまたはデバイスで使用したい場合は、オーセンティケーターを使用するブラウザーおよびデバイスごとに新しいFIDO2(WebAuthn)登録を作成する必要があることを伝えます。
たとえば、ユーザーがMicrosoft WindowsコンピューターでGoogle ChromeとFirefoxブラウザーを使用しており、Apple MacintoshコンピューターでGoogle ChromeとSafariブラウザーを使用している場合、これら4つのブラウザーのそれぞれに新しいFIDO2(WebAuthn)登録を作成する必要があります。
また、Google Chromeブラウザーに複数のGoogleアカウントプロファイルがある場合、それらのGoogleアカウントプロファイルごとに新しいFIDO2(WebAuthn)登録を作成する必要があります。
Passkey管理
Passkeyは、複数のオペレーショティングシステムプラットフォーム間や、スマートフォン、タブレット、ラップトップなどの複数デバイスでFIDO資格情報が存在する場合があるFIDO2標準の実装です。Passkeyがあると、WebAuthn資格情報をバックアップしたりデバイス間で同期したりできます。これによりWebAuthn/FIDOの強力なキーベース/フィッシング不可能な認証モデルが保持され、現在一部のWebAuthnオーセンティケーターで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。
マネージドデバイス環境では、ユーザーはアンマネージドデバイスをPasskeyの資格情報に登録したり、そのようなデバイスを使用して企業システムへのアクセスを得たりできます。Oktaを使用すると、管理者は組織全体で新しい FIDO2(WebAuthn)でのPasskeyの使用をブロックできます。この機能がオンになっている場合、ユーザーは事前登録されたPasskeyを使用して新しいアンマネージドデバイスを登録できません。管理者はセキュリティポリシーをマネージドデバイスに強制適用し、アンマネージドデバイスと侵害された可能性のあるデバイスが企業システムにアクセスするリスクに対処できます。
この機能をオンにすると組織でのPasskeyの使用がブロックされるため、macOS Monterreyを利用するユーザーはSafariブラウザを使用してTouch IDに登録できなくなります。
また、Passkeyの使用をブロックした場合、iOS 16ではPasskeyが使用されるため、iPhoneユーザーがデバイスでiOS 16を実行している場合、FIDO2(WebAuthn)オーセンティケーターを使用できなくなります。Passkeyの使用をブロックする必要がある場合は、Okta FastPassや、NFCかUSB-Cをサポートするセキュリティキーを有効にし、iOS 16ユーザーがFIDO2(WebAuthn)オーセンティケーターを使用して認証できるようにすることをお勧めします。iOS 16を実行しているデバイスの登録は、Passkey以外の用途でのPasskeyの使用をブロックした後にサポートされます。
Passkeyの使用をブロック
この機能はデフォルトでオフになっています。この機能をオンにすると組織でのPasskeyの使用がブロックされます。
-
管理コンソールで、[Settings(設定)] > [Features(機能)]に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでPasskeyをブロックする]オプションのトグル・スイッチをクリックして切り替えます。トグルスイッチが青色に変わります。
Passkeyの使用を許可
これはデフォルト設定です。この機能をオフにすると組織でPasskeyを使用できます。
-
管理コンソールで、[Settings(設定)] > [Features(機能)]に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでPasskeyをブロックする]オプションのトグル・スイッチをクリックして切り替えます。トグルスイッチが灰色に変わります。
WebAuthn、ブラウザーとOktaの互換性
Oktaのテスターは、Oktaと互換性があるブラウザーを判断するために、ブラウザーとWebAuthn実装をテストしました。詳細については、「FIDO2(WebAuthn)の互換性」を参照してください。