FIDO2(WebAuthn) Authenticatorを構成する

FIDO2(WebAuthn) Authenticatorでは、セキュリティキー、または指紋参照や顔認証などの生体認証方式を使ってユーザーを認証できます。FIDO2(WebAuthn)は、 FIDO2 Web認証(WebAuthn)標準に準拠しています。このAuthenticatorを有効にすると、ユーザーはOktaへのサインイン時にこのAuthenticatorを選択したり、追加の認証に使用したりできます。

このAuthenticatorは、FIDO2(WebAuthn)実装の管理に役立ついくつかのオプション機能を提供します。Oktaで機能するAuthenticatorのリストを検索して機器の購入を計画したり、どのAuthenticatorがorgで許容されるかを指定したりできます。また、Authenticatorのグループを作成してポリシーで使用したり、パスキーを管理したり、ユーザーのオンボーディングの一部としてFIDO2セキュリティキーを登録したりすることもできます。

FIDO2(WebAuthn)は、所有および生体認証要素であり、デバイスバウンド、フィッシング耐性、ユーザーの存在などの特徴の要件を満たしています。「多要素認証」を参照してください。

開始する前に

  • FIDO2(WebAuthn)のサポートと動作」を確認します。
  • セキュリティキーを取得したり環境にデプロイしたりする前に、サポートされるAuthenticatorのリストをAdmin Consoleで調べてOktaで使用できるAuthenticatorを確認します。
  • ブラウザーの要件を確認します。
    • Chromeを最新バージョンに更新します。ブラウザーが更新を必要とする状態ではFIDO2(WebAuthn)Authenticatorを使用できません。
    • FIDO2(WebAuthn)Authenticatorを複数のブラウザーと複数のデバイスに登録するようエンドユーザーに奨励してください。1ブラウザーに1登録のユーザーは、ブラウザーがセキュリティ方式をブロックした場合、またはデバイスを紛失した場合に認証できなくなります。
  • システムの要件を確認します。
    • FIDO2(WebAuthn)Authenticatorは、MFA Credential Provider for Windowsではサポートされません。
    • orgで同期可能なパスキーの使用がブロックされると、macOS Montereyを利用するユーザーはSafariブラウザーを使ってTouch IDに登録できなくなります。
    • 同期可能なパスキーの使用がorgでブロックされると、デバイスでiOS 16を利用するiPhoneユーザーはFIDO2(WebAuthn)Authenticatorを使用できなくなります。Okta FastPassを有効にするか、NFCまたはUSB-Cをサポートするセキュリティキーを有効にすることをお勧めします。iOS 16を実行しているデバイスの登録は、同期可能なパスキーのパスキー以外の目的での使用をブロックした後にサポートされます。
    • FIDO2(WebAuthn)Authenticatorは、それが追加されたorg URLへのアクセスのみを許可します。カスタムURLを含め、複数のOkta org URLがあるときは、orgごとにこのAuthenticatorを追加する必要があります。
    • 2022年11月30日より前に追加されたセキュリティキーは再登録してください。

FIDO2(WebAuthn)Authenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. Authenticatorタイルの[Add(追加)]をクリックします。

  4. 早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

    [Passkeys Autofill(パスキー自動入力)]を構成します。

    このオプションを有効にすると、ユーザーがOktaアカウントにアクセスする際に登録済みのパスキーが表示されます。ユーザーがサインインページの[Username(ユーザー名)]フィールドをクリックすると、Webブラウザーに既存のパスキーの一覧が表示されます。これにより、サインインプロセスがより安全になるWebAuthnを使ってアカウントにアクセスするようユーザーを促します。また、この機能を使うと、手動でユーザー名を入力し、Authenticatorを選択してMFAプロンプトを完了する必要がなくなるため、プロセスが短縮します。

    このオプションを無効にすると、使用できるパスキーは[Username(ユーザー名)]フィールドに表示されません。ユーザーはまずユーザー名を入力し、必要なAuthenticatorを選択してからサインインすることになります。

    この機能を無効にするには、まず[Passkeys autofill(パスキー自動入力)]オプションを無効化してから、[Settings(設定)][Features(機能)]でこの機能を無効にしてください。

    エンドユーザーのエクスペリエンスに関する情報は、「パスキーを自動入力する」を参照してください。

  5. [User verification(ユーザー検証)]を構成します。

    設定

    動作
    非推奨 ユーザーがFIDO2(WebAuthn)Authenticatorを登録する際、ユーザー検証画面は表示されません。
    推奨 ユーザーが、ユーザー検証をサポートするFIDO2(WebAuthn)Authenticatorを登録する場合、ユーザー検証画面が表示されます。ユーザーエクスペリエンスはプラットフォームによって異なります。たとえば、一部のオペレーティングシステムではPINをセットアップするよう求められます。
    必須 ユーザーがFIDO2(WebAuthn)Authenticatorを登録する際、常にユーザー検証画面が表示されます。

  6. [Add(追加)]をクリックします。[Setup(セットアップ)]タブのリストにAuthenticatorが表示されます。

Authenticator登録ポリシーにFIDO2(WebAuthn)Authenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Enrollment(登録)]タブをクリックします。
  3. Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。

FIDO2(WebAuthn)Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

AAGUIDリストを表示する

Oktaで使用できるAuthenticatorを確認するには、Authenticatorのリストを検索します。リストには各AuthenticatorのAuthenticator Attestation Global Unique Identifier(AAGUID)番号、種類、FIPS準拠の状況、およびハードウェア保護の状況が表示されます。これを見て、環境と互換性があり、必要な保護機能があり、セキュリティ標準に準拠するAuthenticatorを選択してください。このリストは、FIDOメタデータサービスによって提供されます。

AuthenticatorとしてFIDO2(WebAuthn)を追加し、Oktaが認識するAuthenticatorのリストを表示します。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。
  2. [Setup(セットアップ)] タブでFIDO2(WebAuthn)の行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
  3. [Authenticatorの設定]タブを選択します。
  4. [View list of Okta-recognized Authenticator(Oktaが認識するAuthenticatorのリストを表示)]をクリックします。
  5. Authenticator名またはAAGUID番号を検索します。

Authenticatorグループを管理する

Oktaでは、Oktaが認識するFIDO2(WebAuthn)Authenticatorのグループを作成し、それをポリシーで利用できます。これにより、ポリシーの作成時に特定の FIDO2(WebAuthn)Authenticatorによる認証をユーザーに求めるタスクが簡略化されます。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。
  2. [セットアップ]タブで[FIDO2 (WebAuthn)]列の[Actions(アクション)]をクリックし、[Authenticator groups(Authenticatorグループ)]を選択します。
  3. Authenticatorグループを追加するには、[Add authenticator group(Authenticatorグループを追加)]をクリックします。
  4. グループ名を入力して、グループにFIDO2(WebAuthn)Authenticatorを追加します。
  5. [Add authenticator group(Authenticatorグループを追加)]をクリックします。

Authenticatorグループを編集または削除するには、グループを[Authenticator groups(Authenticatorグループ)]リストで探し、[Actions(アクション)]をクリックします。グループを編集または削除します。

Authenticatorグループを削除する前に、そのグループが含まれるすべての認証登録ポリシーからそのグループを削除する必要があります。「Authenticator登録ポリシーを編集する」を参照してください。

FIDO2(WebAuthn)Authenticatorの同期可能なパスキーをブロックする

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

パスキーを使用することで、WebAuthn資格情報をバックアップしたり、デバイス間で同期させたりできます。パスキーは、強力なキーベースまたはフィッシング不可能なFIDO2(WebAuthn)の認証モデルを使用します。ただし、一部のFIDO2(WebAuthn)Authenticatorで利用できる、デバイスバウンドキーや証明などのエンタープライズセキュリティ機能は備えていません。

管理対象デバイス環境では、ユーザーはパスキーを使って管理対象外のデバイスを登録したり、それらのデバイスを認証に利用したりできます。Oktaでは、同期可能なパスキーを使った新規FIDO2(WebAuthn)の登録をorg全体でブロックできます。この機能が有効な場合、ユーザーは事前に登録されたパスキーを使って新しい管理対象外デバイスを登録できません。macOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。

  1. Admin Console[Settings(設定)] [Features(機能)]に移動します。

  2. [Block Passkeys for FIDO2 (WebAuthn) Authenticator(FIDO2(WebAuthn)Authenticatorでパスキーをブロックする]オプションのトグルスイッチをクリックして切り替えます。

ユーザーのFIDO2セキュリティキーを登録する

Oktaディレクトリに名前が表示されるユーザーに代わって他者がセキュリティキーを登録することができます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。

  1. Admin Console[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. 検索フィールドにユーザー名を入力し、[Enter(入力)]をクリックします。または、[Show all users(すべてのユーザーを表示)]をクリックし、リストでユーザーを探してユーザー名をクリックします。
  3. [More Actions(その他のアクション)]メニューから[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]を選択します。
  4. [Register(登録)]をクリックします。ブラウザーに[Verify your identity(IDを確認)]プロンプトが表示されます。
  5. [USB security key(USBセキュリティキー)]オプションを選択し、ブラウザーのプロンプトに従います。
  6. [このサイトへのセキュリティキーの公開を許可しますか?]プロンプトが表示されたら、[Allow(許可)]をクリックします。
  7. [Close(閉じる)]または[Register another(ほかにも登録)]をクリックします。

エンドユーザーエクスペリエンス

ユーザーがFIDO2(WebAuthn)Authenticatorを登録していない場合、ユーザーは次回のサインイン時に登録を求められます。生体認証方式では、指紋または顔を認識するためのスキャンが求められます。セキュリティキー方式では、自分のセキュリティキーを挿入して登録を完了することが求められます。このプロセスは、プロンプトによってガイドされます。

ユーザーがWebAuthnセキュリティキーまたは生体認証Authenticatorを登録するときは、登録するAuthenticatorに関する情報の収集をOktaに許可することが求められます。ユーザーはセキュリティキーのメーカーとモデルの確認をOktaに許可する必要があります。これにより、各FIDO2(WebAuthn)Authenticatorがエンドユーザーの[Settings(設定)]ページの[Extra Verification(追加の確認)]セクションに名前順に表示されます。

登録が完了すると、ユーザーはサインイン時にFIDO2(WebAuthn)セキュリティ方式を選択して認証に利用できるようになります。ユーザーには、指紋または顔を認識するためのスキャン、またはセキュリティキーの挿入が求められます。このプロセスは、プロンプトによってガイドされます。

パスキーを自動入力する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

[Passkeys autofill(パスキー自動入力)]オプションを有効にすると、ユーザーがサインインページで[Username(ユーザー名)]フィールドをクリックした際に、登録済みパスキーが表示されます。ユーザーはパスキーの登録を[Okta End-User Dashboard][Settings(設定)][Security Methods(セキュリティ方式)][Set up another Security Key or Biometric Authenticator(別のセキュリティキーまたは生体認証Authenticatorのセットアップ)]で行えます。

パスキーがリストに表示されない場合、ユーザーは別のパスキーを使用するオプションを選択してもう一度試すことができます。

セキュリティキーがブラウザーの自動入力リストに直接表示されることはありません。ユーザーは別のパスキーを使用するオプションを手動でクリックして、セキュリティキーを挿入し、画面の指示に従う必要があります。

以前登録したセキュリティキーを使用しようとして、別のキーを試すよう促すメッセージが表示された場合、ユーザーはそのセキュリティキーの登録を削除して、Okta End-User Dashboardから再び登録する必要があります。しかし、Oktaでは事前登録されたセキュリティキーの登録解除を推奨しません。

Macをご利用の場合は、SafariFirefoxで生体認証パスキーを使用するためにiCloudアカウントが必要な場合があります。

関連項目

FIDO2(WebAuthn)のサポートと動作

フィッシング耐性のあるAuthenticatorの登録