パスキー(FIDO2 WebAuthn)アクセス制御を構成する

パスキー(FIDO2 WebAuthn) Authenticatorとポリシーを管理します。

ユーザー検証

これにより、ユーザーの確認に指紋、顔スキャン、デバイスPINなどの追加チェックが追加されます。このチェックはユーザーのデバイスで行われるため、ユーザーの生体認証データが送信されることはありません。

登録

次のいずれかのオプションを選択します。これは、ユーザーがパスキーを作成するときに適用されます。

  • 必須(Required):ユーザーは、パスキーの作成に指紋、顔スキャン、またはPINを求められます。デバイスで行えない場合、登録は失敗します。

  • 推奨(デフォルト)(Preferred(default)):ユーザーは指紋、顔スキャン、またはPINを求められます。デバイスがこれらの機能をサポートしていない場合でも、ユーザーは登録できます。

  • 非推奨(Discouraged):ユーザーは確認を求められません。別のサインイン手順で十分なセキュリティが提供される場合にのみ使用してください。

認証

次のいずれかのオプションを選択します。これは、ユーザーがパスキーを使ってサインインするときに適用されます。

  • 必須(Required):ユーザーは、サインインするたびに指紋、顔スキャン、またはPINの入力を求められます。これは最も安全なオプションです。

  • 推奨(デフォルト)(Preferred(default)):ユーザーは指紋、顔スキャン、またはPINを求められます。デバイスがこれらの機能をサポートしていない場合でも、ユーザーはサインインできます。

  • 非推奨(Discouraged):ユーザーはサインイン時に確認を求められません。ユーザーにとって最も早い方法ですが、セキュリティは低いです。

同期パスキーをブロック

パスキーを使用することで、WebAuthn資格情報をバックアップしたり、デバイス間で同期させたりできます。パスキーは、強力なキーベースまたはフィッシング不可能なパスキー(FIDO2 WebAuthn)の認証モデルを使用します。ただし、一部のパスキー(FIDO2 WebAuthn)Authenticatorで利用できる、デバイスバウンドキーや証明などのエンタープライズセキュリティ機能は備えていません。

管理対象デバイス環境では、ユーザーはパスキーを使って管理対象外のデバイスを登録したり、それらのデバイスを認証に利用したりできます。Oktaでは、同期可能なパスキーを使った新規パスキー(FIDO2 WebAuthn)の登録をorg全体でブロックできます。この機能が有効な場合、ユーザーは事前に登録されたパスキーを使って新しい管理対象外デバイスを登録できません。macOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。

同期パスキーをブロックするには、同期パスキーをブロック(Block synced passkeys)に切り替えます。

これは証明ベースのチェックではありません。一部のAuthenticatorは、実際には同期可能な場合にデバイスバウンドキーの作成を要求することがあります。この設定は、Googleパスワードマネージャー、iCloudキーチェーン、1Passwordなどのパスワードマネージャーに保存されたものなど、同期可能なパスキーの作成が既知されているAuthenticatorをブロックします。

必要な特性

パスキー(FIDO2 WebAuthn)Authenticatorに証明書ベースの認証検証を要求できます。有効にした場合、提供されたAuthenticatorの証明書は、FIDO MDS内の関連証明書またはOkta管理者がアップロードしたカスタムAAGUID検証証明書と照合して検証される必要があります。

これらのオプションは登録と認証の両方に適用されます。

  • 証明書ベースの認証検証(Certificate-based attestation validation):パスキーが正規の信頼できるデバイス(認定されたセキュリティキーなど)で作成されたことを確認します。

  • ハードウェア保護(Hardware protection):TPMやSecure Enclaveなどの安全なデバイスハードウェアにパスキーを保存するよう求めます。これはアプリサインインポリシーの要件と同じですが、パスキーの登録と認証に対して適用されます。

  • FIPS準拠(FIPS compliant):連邦情報処理標準(FIPS)に準拠したAuthenticatorが必要です。