セキュリティー・キーまたは生体認証オーセンティケーターの構成
セキュリティー・キーまたは生体認証オーセンティケーターは、FIDO2 Web認証(WebAuthn)標準に準拠しています。
このオーセンティケーターを有効にして必須またはオプションに設定すると、エンド・ユーザーはサインイン時にこのオーセンティケーターを選択して、追加の認証に使用できるようにセットアップすることが可能です。セキュリティー・キーまたは生体認証オーセンティケーターは、次の2つの認証方法をサポートしています:
-
YubiKeysやGoogle Titanなどのセキュリティー・キー。
-
デバイスに統合されていて、生体認証データまたはWindows HelloやApple Touch IDなどのPINを使用するプラットフォーム認証。
セキュリティー・キーまたは生体認証をオーセンティケーターとして追加する
- 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
- [設定]タブで、[オーセンティケーターを追加]をクリックします。
- [セキュリティー・キーまたは生体認証]タイルで[追加]をクリックします。
- [ユーザー検証]設定を選択します:
- [非推奨](デフォルト):ユーザーがWebAuthnオーセンティケーターに登録する際、ユーザー検証を求められません。これは、さまざまなオペレーティング・システムからサインインするエンド・ユーザーに対して一貫したエクスペリエンスを提供するためのデフォルト設定です。
- [推奨]:オーセンティケーターがユーザー検証をサポートしていても必須にしていない場合、ユーザーはオーセンティケーターに登録する際にユーザー検証を入力するように求められます。
- [必須]:ユーザーは、WebAuthnオーセンティケーターに登録する際に常にユーザー検証の入力を求められます。ユーザーは、ユーザー検証をサポートしているオーセンティケーターに登録する必要があります。ユーザー検証をサポートしていないオーセンティケーターへの登録はできません。
-
[追加]をクリックします。
これらのFIDO2設定を使用すると、WebAuthnオーセンティケーターへの登録時に、エンド・ユーザーに対して追加の検証(生体認証チャレンジ、PINまたはパスワード)の提供を求めるかどうかを制御できます。
[非推奨]および[推奨]の設定は、ユーザー検証をサポートしていても必須にしていないオーセンティケーターでのみ機能します。常にユーザー検証を必要とするオーセンティケーター(Touch IDを使用するWebAuthnなど)では、[非推奨]と[優先]は無効になります。
Oktaでは、管理者がエンド・ユーザーに対して、特定のデバイス(エンド・ユーザーの携帯電話など)に依存しない追加オーセンティケーターを、WebAuthnのほかに予備の手段として追加するように促すことを推奨しています。たとえば、エンド・ユーザーがオーセンティケーターを1つだけ自分の携帯電話にセットアップしている場合、そのエンド・ユーザーが携帯電話を紛失したり、盗まれたりすると、認証を完了できなくなります。なぜなら、携帯電話を利用できなくなるだけでなく、別の方法で認証を完了させることも不可能になるからです。「多要素認証要素の構成」を参照してください。
現在の制限
-
ハードウェア保護はサポートされていますが、デバイスと実装によって異なります。
-
ハードウェア保護の使用の有無に関する判断はサポートされていません。
-
管理者がエンド・ユーザーに代わってセキュリティー・キーまたは生体認証オーセンティケーターを登録することはできません。
-
ワンタイム・パスワード(OTP)モードでは、YubiKeyを要素として使用して登録またはサインインすることはできません。
エンド・ユーザー・エクスペリエンス
このオーセンティケーターが有効になっている場合、エンド・ユーザーはサインイン時にこのオーセンティケーターを選択して、追加の認証に使用できるようにセットアップすることが可能です。構成によっては、エンド・ユーザーがユーザー検証の入力を求められることもあります。この検証には、デバイスのタップに加えて、生体認証チャレンジ、PIN、パスワードが含まれる可能性があります。
関連項目