FIDO2(WebAuthn) Authenticatorを構成する

FIDO2(WebAuthn) Authenticatorでは、セキュリティキー、または指紋参照や顔認証などの生体認証方式を使ってユーザーを認証できます。FIDO2(WebAuthn)は、 FIDO2 Web認証(WebAuthn)標準に準拠しています。このAuthenticatorを有効にすると、ユーザーはOktaへのサインイン時にこのAuthenticatorを選択したり、追加の認証に使用したりできます。

このAuthenticatorは、FIDO2(WebAuthn)実装の管理に役立ついくつかのオプション機能を提供します。Oktaで機能するAuthenticatorのリストを検索して機器の購入を計画したり、どのAuthenticatorがorgで許容されるかを指定したりできます。また、Authenticatorのグループを作成してポリシーで使用したり、パスキーを管理したり、ユーザーのオンボーディングの一部としてFIDO2セキュリティキーを登録したりすることもできます。

FIDO2(WebAuthn)は、所有および生体認証要素であり、デバイスバウンド、フィッシング耐性、ユーザーの存在などの特徴の要件を満たしています。「多要素認証」を参照してください。

開始する前に

  • FIDO2(WebAuthn)のサポートと動作」を確認します。
  • セキュリティキーを取得したり環境にデプロイしたりする前に、サポートされるAuthenticatorのリストをAdmin Consoleで調べてOktaで使用できるAuthenticatorを確認します。
  • ブラウザーの要件を確認します。
    • Chromeを最新バージョンに更新します。ブラウザーが更新を必要とする状態ではFIDO2(WebAuthn)Authenticatorを使用できません。
    • FIDO2(WebAuthn)Authenticatorを複数のブラウザーと複数のデバイスに登録するようエンドユーザーに奨励してください。1ブラウザーに1登録のユーザーは、ブラウザーがセキュリティ方式をブロックした場合、またはデバイスを紛失した場合に認証できなくなります。
  • システムの要件を確認します。
    • FIDO2(WebAuthn)Authenticatorは、MFA Credential Provider for Windowsではサポートされません。
    • orgで同期可能なパスキーの使用がブロックされると、macOS Montereyを利用するユーザーはSafariブラウザーを使ってTouch IDに登録できなくなります。
    • 同期可能なパスキーの使用がorgでブロックされると、デバイスでiOS 16を利用するiPhoneユーザーはFIDO2(WebAuthn)Authenticatorを使用できなくなります。Okta FastPassを有効にするか、NFCまたはUSB-Cをサポートするセキュリティキーを有効にすることをお勧めします。iOS 16を実行しているデバイスの登録は、同期可能なパスキーのパスキー以外の目的での使用をブロックした後にサポートされます。
    • FIDO2(WebAuthn)Authenticatorは、それが追加されたorg URLへのアクセスのみを許可します。カスタムURLを含め、複数のOkta org URLがあるときは、orgごとにこのAuthenticatorを追加する必要があります。
    • 2022年11月30日より前に追加されたセキュリティキーは再登録してください。

FIDO2(WebAuthn)Authenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. Authenticatorタイルの[Add(追加)]をクリックします。

  4. [User verification(ユーザー検証)]を構成します。

    フィールド

    Discouraged(非推奨) FIDO2(WebAuthn)Authenticatorを登録する際に、ユーザーにユーザー検証を求めません。
    Preferred(推奨) サポートされるFIDO2(WebAuthn)Authenticatorを登録する際に、ユーザーにユーザー検証を求めます。
    Required(必須) FIDO2(WebAuthn)Authenticatorを登録する際に、ユーザーに常にユーザー検証を求めます。

  5. [Add(追加)]をクリックします。[Setup(セットアップ)]タブのリストにAuthenticatorが表示されます。

Authenticator登録ポリシーにFIDO2(WebAuthn)Authenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [登録]タブをクリックします。
  3. Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。

FIDO2(WebAuthn)Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

Oktaが認識するWebAuthn Authenticatorのリストを表示する

Authenticatorのリストを検索し、Oktaで利用できるAuthenticator、そのタイプ、FIPS準拠ステータス、ハードウェア保護ステータスを確認します。このリストは、環境と互換性のあるものや必要な保護機能を提供するものを特定したり、セキュリティ標準に準拠したりする上で役立ちます。このリストは、FIDOメタデータサービスによって提供されます。

AuthenticatorとしてFIDO2(WebAuthn)を追加し、Oktaが認識するAuthenticatorのリストを表示します。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。
  2. [Setup(セットアップ)] タブでFIDO2(WebAuthn)の行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
  3. [Authenticatorの設定]タブを選択します。
  4. [View list of Okta-recognized Authenticator(Oktaが認識するAuthenticatorのリストを表示)]をクリックします。
  5. Authenticatorの名前、またはAAGUID(Authenticator Attestation Global Unique Identifier)番号を検索します。
  6. 探しているAuthenticatorがリストにないときは、[Learn to register an authenticator with FIDO(FIDOのAuthenticator登録の詳細)] リンクをクリックします。

Authenticatorグループを管理する

Oktaでは、Oktaが認識するFIDO2(WebAuthn)Authenticatorのグループを作成し、それをポリシーで利用できます。これにより、ポリシーの作成時に特定の FIDO2(WebAuthn)Authenticatorによる認証をユーザーに求めるタスクが簡略化されます。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。
  2. [セットアップ] タブで[FIDO2(WebAuthn)]行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
  3. [Authenticatorの設定]タブを選択します。
  4. Authenticatorグループを追加するには、[Add authenticator group(Authenticatorグループを追加)]をクリックして次の手順を実行します。
    1. [Authenticator group name(Authenticatorグループ名)]にグループ名を入力します。
    2. [FIDO2(WebAuthn)Authenticator in this group(このグループのFIDO2(WebAuthn)Authenticator)]内をクリックし、グループに追加するオーセンティケーターを選択します。Authenticator名またはAAGUID番号を入力してリストを絞り込むこともできます。Authenticatorがフィールドに表示されます。このグループに追加するAuthenticatorごとに、この手順を繰り返します。
  5. Authenticatorグループを編集または削除するには、[Authenticator groups(Authenticatorグループ)]リストでAuthenticatorを特定し、[Actions(アクション)]をクリックします。次のいずれかの手順を実行します。
    1. [Edit(編集)]:Authenticatorグループの名前を編集するか、[FIDO2(WebAuthn)Authenticator in this group(このグループのFIDO2(WebAuthn)Authenticator]内をクリックしてAuthenticatorをリストに追加または削除します。
    2. [Delete(削除)]:Authenticatorグループを削除します。

認証登録ポリシーからAuthenticatorグループを削除する

Authenticatorグループを削除する前に、そのグループが含まれるすべての認証登録ポリシーからそのグループを削除する必要があります。「Authenticator登録ポリシーを作成する」を参照してください。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。
  2. [登録]タブをクリックします。
  3. リストからポリシーを選択し、AuthenticatorリストでFIDO2(WebAuthn)Authenticatorを探します。
  4. 選択したグループリストからのAuthenticator[FIDO2(WebAuthn)]にあるときは、[Edit(編集)]をクリックします。このオプションが表示されないときは、ポリシーがどのAuthenticatorグループも使用していないことを意味します。
  5. [FIDO2(WebAuthn)]セクションで次のいずれかのオプションを選択します。
    1. [Any WebAuthn Authenticator(すべてのWebAuth Authenticator)]:ユーザーがすべてのFIDO2(WebAuthn)オーセンティケーターを認証に使用できるようにします。
    2. [Authenticator from selected group list(選択したグループリストからのAuthenticator)]:リストのAuthenticator名の横にある[X]をクリックして削除します。

  6. [Update policy(ポリシーを更新)]をクリックします。

FIDO2 (WebAuthn)Authenticatorのパスキーをブロックする

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

パスキーを使用することで、WebAuthn資格情報をバックアップしたり、デバイス間で同期させたりできます。パスキーは、強力なキーベースまたはフィッシング不可能なFIDO2(WebAuthn)の認証モデルを使用します。ただし、一部のFIDO2(WebAuthn)Authenticatorで利用できる、デバイスバウンドキーや証明などのエンタープライズセキュリティ機能は備えていません。

管理対象デバイス環境では、ユーザーはパスキーを使って管理対象外のデバイスを登録したり、それらのデバイスを認証に利用したりできます。Oktaでは、同期可能なパスキーを使った新規FIDO2(WebAuthn)の登録をorg全体でブロックできます。この機能が有効な場合、ユーザーは事前に登録されたパスキーを使って新しい管理対象外デバイスを登録できません。macOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。

  1. Admin Console[Settings(設定)] [Features(機能)]に移動します。

  2. [Block Passkeys for FIDO2 (WebAuthn) Authenticator(FIDO2(WebAuthn)Authenticatorでパスキーをブロックする]オプションのトグルスイッチをクリックして切り替えます。

ユーザーのFIDO2セキュリティキーを登録する

Oktaディレクトリに名前が表示されるユーザーに代わって他者がセキュリティキーを登録することができます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。

  1. Admin Console[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. 検索フィールドにユーザー名を入力し、[Enter(入力)]をクリックします。または、[Show all users(すべてのユーザーを表示)]をクリックし、リストでユーザーを探してユーザー名をクリックします。
  3. [More Actions(その他のアクション)]メニューから[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]を選択します。
  4. [Register(登録)]をクリックします。ブラウザーに[Verify your identity(IDを確認)]プロンプトが表示されます。
  5. [USB security key(USBセキュリティキー)]オプションを選択し、ブラウザーのプロンプトに従います。
  6. [このサイトへのセキュリティキーの公開を許可しますか?]プロンプトが表示されたら、[Allow(許可)]をクリックします。
  7. [Close(閉じる)]または[Register another(ほかにも登録)]をクリックします。

エンドユーザーエクスペリエンス

ユーザーがFIDO2(WebAuthn)Authenticatorを登録していない場合、ユーザーは次回のサインイン時に登録を求められます。生体認証方式では、指紋または顔を認識するためのスキャンが求められます。セキュリティキー方式では、自分のセキュリティキーを挿入して登録を完了することが求められます。このプロセスは、プロンプトによってガイドされます。

ユーザーがWebAuthnセキュリティキーまたは生体認証Authenticatorを登録するときは、登録するAuthenticatorに関する情報の収集をOktaに許可することが求められます。ユーザーはセキュリティキーのメーカーとモデルの確認をOktaに許可する必要があります。これにより、各FIDO2(WebAuthn)Authenticatorがエンドユーザーの[Settings(設定)]ページの[Extra Verification(追加の確認)]セクションに名前順に表示されます。

登録が完了すると、ユーザーはサインイン時にFIDO2(WebAuthn)セキュリティ方式を選択して認証に利用できるようになります。ユーザーには、指紋または顔を認識するためのスキャン、またはセキュリティキーの挿入が求められます。このプロセスは、プロンプトによってガイドされます。

関連項目

FIDO2(WebAuthn)のサポートと動作

フィッシング耐性のあるAuthenticatorの登録