FIDO2(WebAuthn) Authenticatorを構成する

FIDO2(WebAuthn) Authenticatorでは、セキュリティキー、または指紋参照や顔認証などの生体認証方式を使ってユーザーを認証できます。FIDO2(WebAuthn)は、 FIDO2 Web認証(WebAuthn)標準に準拠しています。このAuthenticatorを有効にすると、ユーザーはそれをOktaへのサインインや追加の認証に使用できます。

このAuthenticatorは、FIDO2(WebAuthn)実装の管理に役立ついくつかのオプション機能を提供します。

  • Oktaで機能するAuthenticatorのリストを検索して、機器の購入計画やorgで使用できるAuthenticatorを指定します。
  • Authenticatorのグループを作成し、ポリシーで使用します。
  • ユーザーのオンボーディングの一部として、パスキーの管理やFIDO2セキュリティキーの登録を行います。

FIDO2(WebAuthn)は所有と生体認証の要素であり、デバイスとの結び付け、フィッシング耐性、ユーザーのプレゼンス状態の要件を満たします。「多要素認証」を参照してください。

開始する前に

  • FIDO2(WebAuthn)Authenticatorをサポートしているブラウザーと使用上の考慮事項を確認します。「FIDO2(WebAuthn)のサポートと動作」を参照してください。
  • サポートされるAuthenticatorのリストをAAGUIDリストで確認します。セキュリティキーの取得や環境へのデプロイを行う前に、Oktaで使用できるセキュリティキーを確認してください。
  • ブラウザーの要件を確認します。
    • Chromeを最新バージョンに更新します。ブラウザーが更新を必要とする状態ではFIDO2(WebAuthn)Authenticatorを使用できません。
    • FIDO2(WebAuthn)Authenticatorを複数のブラウザーと複数のデバイスに登録するようエンドユーザーに奨励してください。1ブラウザーに1登録のユーザーは、ブラウザーがセキュリティ方式をブロックした場合、またはデバイスを紛失した場合に認証できなくなります。
  • システムの要件を確認します。
    • FIDO2(WebAuthn)Authenticatorは、MFA Credential Provider for Windowsではサポートされません。
    • 同期可能なパスキーの使用をorgでブロックすると、macOS Montereyを利用するユーザーはSafariブラウザーを使ってTouch IDに登録できなくなります。
    • 同期可能なパスキーの使用をorgでブロックすると、iOS 16で動作しているiPhoneのユーザーはFIDO2(WebAuthn)Authenticatorを使用できなくなります。Okta FastPassを有効にするか、NFCまたはUSB-Cをサポートするセキュリティキーを有効にしてください。iOS 16で動作しているデバイスの登録は、パスキー以外の目的について同期可能なパスキーの使用をブロックした後にサポートされます。
    • FIDO2(WebAuthn)Authenticatorは、それが追加されているorg URLへのアクセスのみを許可します。カスタムURLを含めて複数のOkta org URLがある場合は、このAuthenticatorをそれぞれのorgとURLに追加する必要があります。
    • 2022年11月30日より前に追加されたセキュリティキーは再登録してください。

FIDO2(WebAuthn)Authenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. Authenticatorタイルの[Add(追加)]をクリックします。

  4. [Enable autofill UI(自動入力UIを有効にする)]を選択して、Passkeys Autofill(パスキー自動入力)機能を有効にします。

    早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

    この機能を無効にするには、[Enable autofill UI(自動入力UIを有効にする)]チェックボックスを選択解除してから、 [Settings(設定)][Features(機能)]でこの機能を無効にしてください。

    Sign-In Widgetでパスワード優先フローを使用している場合には、パスキーの自動入力は機能しません。

    エンドユーザーエクスペリエンスに関する情報については、「パスキー自動入力」を参照してください。

  5. [User verification(ユーザー検証)]を構成します。

    • Discouraged(非推奨):ユーザーがFIDO2(WebAuthn)Authenticatorを登録するときに、ユーザー検証を要求しません。

    • Preferred(推奨):ユーザー検証対応のFIDO2(WebAuthn)Authenticatorをユーザーが登録するときに、ユーザー検証を要求します。ユーザーエクスペリエンスはプラットフォームによって異なります。たとえば、オペレーティングシステムによっては、PINのセットアップが求められます。

    • Required(必須):ユーザーがFIDO2(WebAuthn)Authenticatorに登録するときには必ずユーザー検証を要求します。

  6. [Add(追加)]をクリックします。[Setup(セットアップ)]タブのリストにAuthenticatorが表示されます。

Authenticator登録ポリシーにFIDO2(WebAuthn)Authenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Enrollment(登録)]タブをクリックします。
  3. Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。

FIDO2(WebAuthn)Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

AAGUIDリストを表示する

Oktaで使用できるAuthenticatorを確認するには、Authenticatorのリストを検索します。リストには各AuthenticatorのAuthenticator Attestation Global Unique Identifier(AAGUID)番号、種類、FIPS準拠の状況、およびハードウェア保護の状況が表示されます。これを見て、環境と互換性があり、必要な保護機能があり、セキュリティ標準に準拠するAuthenticatorを選択してください。このリストは、FIDOメタデータサービスによって提供されます。

AAGUIDリストは、FIDO2(WebAuthn) Authenticatorを追加した後にのみ表示できます。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [セットアップ] タブで、[FIDO2(WebAuthn)]行の[Actions(アクション)]をクリックします。
  3. [AAGUID list(AAGUIDリスト)]を選択します。
  4. [Search(検索)]フィールドにAuthenticator名またはAAGUID番号を入力します。

Authenticatorグループを管理する

Oktaでは、Oktaが認識するFIDO2(WebAuthn)Authenticatorのグループを作成し、それをポリシーで利用できます。これにより、ポリシーの作成時に特定の FIDO2(WebAuthn)Authenticatorによる認証をユーザーに求めるタスクが簡略化されます。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [セットアップ]タブで[FIDO2(WebAuthn)]行の[Actions(アクション)]をクリックし、[Authenticator groups(Authenticatorグループ)]を選択します。
  3. Authenticatorグループを追加するには、[Add group(グループを追加)]をクリックします。
  4. グループ名を入力して、グループにFIDO2(WebAuthn)Authenticatorを追加します。
  5. [Add group(グループを追加)]をクリックします。

Authenticatorグループを編集または削除するには、[Authenticator groups(Authenticatorグループ)]リストで見つけて、[Actions(アクション)]をクリックします。[Edit(編集)]または[Delete(削除)]をクリックします。

Authenticatorグループを削除する前に、そのグループが含まれるすべての認証登録ポリシーからそのグループを削除する必要があります。「Authenticator登録ポリシーを編集する」を参照してください。

FIDO2(WebAuthn)Authenticatorの同期可能なパスキーをブロックする

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

パスキーを使用することで、WebAuthn資格情報をバックアップしたり、デバイス間で同期させたりできます。パスキーは、強力なキーベースまたはフィッシング不可能なFIDO2(WebAuthn)の認証モデルを使用します。ただし、一部のFIDO2(WebAuthn)Authenticatorで利用できる、デバイスバウンドキーや証明などのエンタープライズセキュリティ機能は備えていません。

管理対象デバイス環境では、ユーザーはパスキーを使って管理対象外のデバイスを登録したり、それらのデバイスを認証に利用したりできます。Oktaでは、同期可能なパスキーを使った新規FIDO2(WebAuthn)の登録をorg全体でブロックできます。この機能が有効な場合、ユーザーは事前に登録されたパスキーを使って新しい管理対象外デバイスを登録できません。macOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。

ユーザーのFIDO2セキュリティキーを登録する

Oktaディレクトリに名前が表示されるユーザーに代わって他者がセキュリティキーを登録することができます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。

  1. Admin Console[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. 検索フィールドにユーザー名を入力し、[Enter(入力)]をクリックします。または、[Show all users(すべてのユーザーを表示)]をクリックし、リストでユーザーを探してユーザー名をクリックします。
  3. [More Actions(その他のアクション)]メニューから[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]を選択します。
  4. [Register(登録)]をクリックします。[WebAuthnセキュリティを登録]ページが表示されます。ブラウザーに[パスキーを作成してサインインしますか?]プロンプトが表示された場合は、[Cancel(キャンセル)]をクリックして、[WebAuthn セキュリティを登録]ページに戻ってください。
  5. ブラウザーの指示に従います。
  6. [このサイトへのセキュリティキーの公開を許可しますか?]プロンプトが表示されたら、[Allow(許可)]をクリックします。
  7. [Close(閉じる)]または[Register another(ほかにも登録)]をクリックします。

エンドユーザーエクスペリエンス

ユーザーがFIDO2(WebAuthn)Authenticatorを登録していない場合、ユーザーは次回のサインイン時に登録を求められます。生体認証方式では、指紋または顔を認識するためのスキャンが求められます。セキュリティキー方式では、自分のセキュリティキーを挿入して登録を完了することが求められます。このプロセスは、プロンプトによってガイドされます。

ユーザーがWebAuthnセキュリティキーまたは生体認証Authenticatorを登録するときは、登録するAuthenticatorに関する情報の収集をOktaに許可することが求められます。ユーザーはセキュリティキーのメーカーとモデルの確認をOktaに許可する必要があります。これにより、各FIDO2(WebAuthn)Authenticatorがエンドユーザーの[Settings(設定)]ページの[Extra Verification(追加の確認)]セクションに名前順に表示されます。

登録が完了すると、ユーザーはサインイン時にFIDO2(WebAuthn)セキュリティ方式を選択して認証に利用できるようになります。ユーザーには、指紋または顔を認識するためのスキャン、またはセキュリティキーの挿入が求められます。このプロセスは、プロンプトによってガイドされます。

パスキー自動入力

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

この機能を有効にすると、ユーザーがサインインページで[Username(ユーザー名)]フィールドをクリックしたときに、登録済みのパスキーが表示されます。これはアカウントへのアクセスに、サインインプロセスをより安全にするFIDO2(WebAuthn)の使用を促します。また、ユーザー名の手動入力やAuthenticatorの選択、MFAプロンプトの完了が必要なくなるため、プロセスも短縮されます。

ユーザーがパスキーを登録するには、[Okta End-User Dashboard][Settings(設定)][Security Methods(セキュリティ方式)][Set up another Security Key or Biometric Authenticator(別のセキュリティキーまたは生体認証Authenticatorのセットアップ)]ページを使用します。

パスキーがリストに表示されない場合、ユーザーは別のパスキーを使用するオプションを選択してもう一度試すことができます。

セキュリティキーが自動的にブラウザーの自動入力リストに表示されることはありません。ユーザーは別のパスキーを使用するオプションを手動でクリックして、セキュリティキーを挿入し、画面の指示に従う必要があります。

事前登録されたセキュリティキーの登録を解除してはいけません。 ユーザーが別のキーを試すように求められた場合は、既存のセキュリティキーの登録を削除してから、Okta End-User Dashboardでキーを再登録する必要があります。

この機能を無効にすると、パスキーは[Username(ユーザー名)]フィールドに表示されません。ユーザーはサインイン時にユーザー名を入力して、セキュリティ方法を選択する必要があります。

Macをご利用の場合は、SafariFirefoxで生体認証パスキーを使用するためにiCloudアカウントが必要な場合があります。

Sign-In Widgetでパスワード優先フローを使用している場合には、パスキーの自動入力は機能しません。

関連項目

FIDO2(WebAuthn)のサポートと動作

フィッシング耐性のあるAuthenticatorを登録する