FIDO2(WebAuthn)Authenticatorを構成する

FIDO2(WebAuthn)Authenticatorでは、セキュリティキー、または指紋参照や顔認証などの生体認証方式を使ってユーザーを認証できます。FIDO2(WebAuthn)は、FIDO2 Web認証(WebAuthn)標準に準拠しています。このAuthenticatorを有効にすると、ユーザーはOktaへのサインイン時にこのAuthenticatorを選択したり、追加の認証に使用したりできます。

このAuthenticatorは、FIDO2(WebAuthn)実装の管理に役立ついくつかのオプション機能を提供します。Oktaで機能するAuthenticatorのリストを検索し、機器の購入を計画したり、どのAuthenticatorがorgで許容されるかを指定したりできます。また、Authenticatorのグループを作成してポリシーで使用したり、パスキーを管理したり、ユーザーのオンボーディングの一部としてFIDO2セキュリティキーを登録したりすることもできます。

FIDO2(WebAuthn)は、所有および生体認証要素であり、デバイスバウンド、フィッシング耐性、ユーザーの存在などの特性の要件を満たしています。「多要素認証」を参照してください。

はじめに

セキュリティキーを取得したり環境にデプロイしたりする前に、サポートされるAuthenticatorのリストを調べてOktaで使用できるAuthenticatorを確認してください。

ブラウザーの要件を確認します。

  • Chromeを最新バージョンに更新します。ブラウザーの更新が必要な場合、FIDO2(WebAuthn)Authenticatorは使用できません。
  • Apple M1プロセッサーを実行するApple Macintoshコンピューターでは、Safariブラウザーを使用しないでください。
  • FIDO2(WebAuthn)Authenticatorを複数のブラウザーと複数のデバイスに登録するようエンドユーザーに奨励してください。1ブラウザーに1登録のユーザーは、ブラウザーがセキュリティ方式をブロックした場合、またはデバイスを紛失した場合に認証できなくなります。
  • Firefoxでは、セキュリティキーの登録はサポートされません。
  • [User Verification(ユーザー検証)][Discouraged(非推奨)]に設定され、セキュリティキーにPINが設定されている場合、Chromeでの登録はサポートされません。

システムの要件を確認します。

  • FIDO2(WebAuthn)Authenticatorは、MFA Credential Provider for Windowsではサポートされません。
  • orgでパスキーの使用をブロックすると、macOS Montereyを利用するユーザーはSafariブラウザーを使ってTouch IDに登録できなくなります。
  • orgでパスキーの使用をブロックすると、デバイスでiOS 16を利用するiPhoneユーザーはFIDO2(WebAuthn)認証を使用できなくなります。Okta FastPassや、NFCまたはUSB-Cをサポートするセキュリティキーを有効にすることをお勧めします。iOS 16を実行しているデバイスの登録は、パスキー以外の用途でのパスキーの使用をブロックした後にサポートされます。
  • FIDO2(WebAuthn)Authenticatorは、それが追加されたorg URLへのアクセスのみを許可します。カスタムURLを含む複数のOkta org URLがある場合は、org URLごとにこのAuthenticatorを追加する必要があります。

  • 2022年11月30日より前に追加されたセキュリティキーは再登録してください。

  • FIDO U2Fを使った登録はサポートされません。

FIDO2(WebAuthn)Authenticatorを追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. Authenticatorタイルの[Add(追加)]をクリックします。

構成オプション

  1. 次のオプションを構成します。

    フィールド

    Discouraged(非推奨) FIDO2(WebAuthn)Authenticatorを登録する際に、ユーザー検証を求められません。
    Preferred(推奨) サポートされるFIDO2(WebAuthn)Authenticatorを登録する際に、ユーザー検証を求められます。
    Required(必須) FIDO2(WebAuthn)Authenticatorを登録する際に、ユーザー検証を常に求められます。

  2. [Add(追加)]をクリックします。[Setup(設定)]タブのリストにAuthenticatorが表示されます。

Authenticator登録ポリシーにFIDO2(WebAuthn)Authenticatorを追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Enrollment(登録)]タブをクリックします。
  3. Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。

FIDO2(WebAuthn)Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

Oktaが認識するWebAuthnAuthenticatorのリストを表示する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Authenticatorのリストを検索し、Oktaで利用できるAuthenticator、そのタイプ、FIPS準拠ステータス、ハードウェア保護ステータスを確認します。このリストは、環境と互換性のあるものや必要な保護機能を提供するものを特定したり、セキュリティ標準に準拠したりする上で役立ちます。このリストは、FIDOメタデータサービスによって提供されます。

Oktaが認識するAuthenticatorのリストを表示する前に、FIDO2(WebAuthn)をAuthenticatorとして追加する必要があります。

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
  2. [Setup(セットアップ)] タブでFIDO2(WebAuthn)の行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
  3. [Authentication settings(Authenticatorの設定)]タブを選択します。
  4. [View list of Okta-recognized authenticators(Oktaが認識するAuthenticatorのリストを表示)]をクリックします。
  5. Authenticatorの名前、またはAAGUID(Authenticator Attestation Global Unique Identifier)番号を検索します。
  6. 探しているAuthenticatorがリストにないときは、[Learn to register an authenticator with FIDO(FIDOのAuthenticator登録の詳細)] リンクをクリックします。

Authenticatorグループを管理する

Oktaでは、Oktaが認識するFIDO2(WebAuthn)Authenticatorのグループを作成し、それをポリシーで利用できます。これにより、ポリシーの作成時に特定の FIDO2(WebAuthn)Authenticatorによる認証をユーザーに求めるタスクが簡略化されます。

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
  2. [Setup(セットアップ)] タブでFIDO2(WebAuthn)の行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
  3. [Authentication settings(Authenticatorの設定)]タブを選択します。
  4. Authenticatorグループを追加するには、[Add authenticator group(Authenticatorグループを追加)]をクリックして次の手順を実行します。
    1. [Authenticator group name(Authenticatorグループ名)]に、グループ名を入力します。
    2. [FIDO2(WebAuthn)authenticators in this group(このグループのFIDO2(WebAuthn)Authenticator)]内をクリックし、グループに追加するAuthenticatorを選択します。Authenticator名またはAAGUID番号を入力してリストを絞り込むこともできます。Authenticatorがフィールドに表示されます。このグループに追加するAuthenticatorごとに、この手順を繰り返します。
  5. Authenticatorグループを編集または削除するには、[Authenticator groups(Authenticatorグループ)]リストでAuthenticatorを特定し、[アActions(アクション)]をクリックします。次のいずれかの手順を実行します。
    1. [Edit(編集)]:Authenticatorグループの名前を編集するか、[FIDO2(WebAuthn)authenticators in this group(このグループのFIDO2(WebAuthn)Authenticator]内をクリックしてAuthenticatorをリストに追加または削除します。
    2. [Delete(削除)]:Authenticatorグループを削除します。

認証登録ポリシーからAuthenticatorグループを削除する

Authenticatorグループを削除する前に、そのグループが含まれるすべての認証登録ポリシーからそのグループを削除する必要があります。「Authenticator登録ポリシーを作成する」を参照してください。

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
  2. [登録]タブをクリックします。
  3. リストからポリシーを選択し、[Authenticators]リストからFIDO2(WebAuthn)Authenticatorを探します。
  4. [FIDO2(WebAuthn)]に[選択したグループリストからのAuthenticator)]が表示される場合は、[Edit(編集)]をクリックします。このオプションが表示されないときは、ポリシーがどのAuthenticatorグループも使用していないことを意味します。
  5. [FIDO2(WebAuthn)]セクションで、次のいずれかのオプションを選択します。
    1. [Any WebAuthn authenticators(すべてのWebAuthAuthenticator)]:すべてのFIDO2(WebAuthn)Authenticatorを使用できるようにします。
    2. [Authenticators from selected group list(選択したグループリストからのAuthenticator)]:リストのAuthenticator名の横にある[X]をクリックして削除します。

  6. [Update policy(ポリシーを更新)]をクリックします。

パスキーの使用をブロックする

パスキーがあると、WebAuthn資格情報をバックアップしたりデバイス間で同期させたりできます。パスキーは、強力なキーベースのフィッシング不可能なFIDO2(WebAuthn)の認証モデルを使用します。ただし、一部のFIDO2(WebAuthn)Authenticatorで利用できる、デバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能は備えていません。

管理対象デバイス環境では、ユーザーはパスキーを使って管理対象外のデバイスを登録したり、それらのデバイスを認証に利用したりできます。Oktaでは、パスキーを使った新規FIDO2(WebAuthn)の登録をorg全体でブロックできます。この機能がオンの場合、ユーザーは事前に登録されたパスキーを使って管理対象外の新規デバイスを登録できません。

  1. Admin Consoleで、[Settings(設定)] [Features(機能)]に移動します。

  2. [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)Authenticatorでパスキーをブロックする]オプションのトグルスイッチをクリックして切り替えます。

MacOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。

ユーザーのFIDO2セキュリティキーを登録する

名前がOktaディレクトリに表示されるユーザーに代わってセキュリティキーを登録できます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。

  1. Admin Console[Directory(ディレクトリ)][People(ユーザー)]に進みます。

  2. 検索フィールドにユーザー名を入力し、[Enter(入力)]をクリックします。または、[Show all users(すべてのユーザーを表示)]をクリックし、リストでユーザーを見つけて、ユーザーの名前をクリックします。
  3. [More Actions(その他のアクション)]メニューから、[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]を選択します。
  4. [Register(登録)]をクリックします。ブラウザーに[Verify your identity(IDを確認)]プロンプトが表示されます。
  5. [USB security key(USBセキュリティキー)]オプションを選択し、ブラウザーのプロンプトに従います。
  6. [Allow this site to see your security key?(このサイトへのセキュリティキーの公開を許可しますか?)]プロンプトが表示されたら、[Allow(許可)]をクリックします。
  7. [Close(閉じる)]または[Register another(ほかにも登録)]をクリックします。

エンドユーザーエクスペリエンス

FIDO2(WebAuthn)Authenticatorへの登録を必須にすると、次回のサインイン時にユーザーは登録が求められます。生体認証方式を選択したユーザーには、指紋または顔を認識するためのスキャンが求められます。セキュリティキー方式を選択したユーザーには、自分のセキュリティキーを挿入して登録を完了することが求められます。このプロセスは、プロンプトによってガイドされます。

WebAuthnセキュリティキーまたは生体認証Authenticatorを登録するユーザーには、登録するAuthenticatorに関する情報の収集をOktaに許可することが求められます。ユーザーはセキュリティキーのメーカーとモデルの確認をOktaに許可する必要があります。これにより、ユーザーの[Settings(設定)]ページの[Extra Verification(追加検証)]セクションに各FIDO2(WebAuthn)Authenticatorの名前が表示されます。

登録が完了すると、ユーザーはサインイン時にFIDO2(WebAuthn)セキュリティ方式を選択して認証に利用できるようになります。ユーザーには、指紋または顔を認識するためのスキャン、またはセキュリティキーの挿入が求められます。このプロセスは、プロンプトによってガイドされます。

関連項目

YubiKey OTP Authenticatorを構成する

FIDO2(WebAuthn)の互換性

フィッシング耐性のあるAuthenticatorの登録