パスキー(FIDO2 WebAuthn)Authenticatorを構成する
パスキー(FIDO2 WebAuthn)Authenticatorでは、ユーザーはセキュリティキーまたは生体認証(指紋や顔認証など)で認証を行います。パスキー(FIDO2 WebAuthn)は、FIDO2 Web Authentication(WebAuthn)標準に準拠しています。このAuthenticatorを有効にすると、ユーザーはOktaへのサインイン時にそれで認証したり、追加の認証に使用したりできます。
このAuthenticatorは、パスキー(FIDO2 WebAuthn)実装の管理に役立ついくつかのオプション機能を提供します。
- Oktaで機能するAuthenticatorのリストを検索して、機器の購入計画やorgで使用できるAuthenticatorを指定します:
- 独自のカスタムauthenticatorを追加します。
- Authenticatorのグループを作成し、ポリシーで使用します。
- ユーザーのオンボーディングの一部として、パスキーの管理やFIDO2セキュリティキーの登録を行います。
パスキー(FIDO2 WebAuthn)は所有と生体認証の要素であり、デバイスバウンド、フィッシング耐性、ユーザーのプレゼンス状態の要件を満たします。「多要素認証」を参照してください。
開始する前の確認事項
- パスキー(FIDO2 WebAuthn)Authenticatorをサポートしているブラウザーと使用上の考慮事項を確認します。「パスキー(FIDO2 WebAuthn)のサポートと動作」を参照してください。
-
FIDO Metadata Service(MDS)のAuthenticator Attestation Global Unique Identifier(AAGUID)のAuthenticatorリストを確認します。セキュリティキーの取得や環境へのデプロイを行う前に、Oktaで使用できるセキュリティキーを確認してください。AuthenticatorがFIDO MDS AAGUIDリストに表示されないときは、カスタムAAGUIDリストに追加できます。「FIDO MDSとカスタムauthenticatorのレビューと管理」を参照してください。
- サポートされるAuthenticatorのリストをAAGUIDリストで確認します。セキュリティキーの取得や環境へのデプロイを行う前に、Oktaで使用できるセキュリティキーを確認してください。
- ブラウザーの要件を確認します。
- Chromeを最新バージョンに更新します。ブラウザーが更新を必要とする状態ではパスキー(FIDO2 WebAuthn)Authenticatorを使用できません。
- パスキー(FIDO2 WebAuthn)Authenticatorを複数のブラウザーと複数のデバイスに登録するようエンドユーザーに奨励してください。1ブラウザーに1登録のユーザーは、ブラウザーがセキュリティ方式をブロックした場合、またはデバイスを紛失した場合に認証できなくなります。
- システムの要件を確認します。
- パスキー(FIDO2 WebAuthn)Authenticatorは、MFA Credential Provider for Windowsではサポートされません。
- 同期可能なパスキーの使用をorgでブロックすると、macOS Montereyを利用するユーザーはSafariブラウザーを使ってTouch IDに登録できなくなります。
- 同期可能なパスキーの使用をorgでブロックすると、iOS 16で動作しているiPhoneのユーザーはパスキー(FIDO2 WebAuthn)Authenticatorを使用できなくなります。Okta FastPassを有効にするか、NFCまたはUSB-Cをサポートするセキュリティキーを有効にしてください。iOS 16で動作しているデバイスの登録は、パスキー以外の目的について同期可能なパスキーの使用をブロックした後にサポートされます。
- パスキー(FIDO2 WebAuthn)Authenticatorは、最初に登録された特定のOkta org URLに制限されます。カスタムURLを含めて複数のOkta org URLがある場合は、このAuthenticatorをそれぞれのorgとURLに追加する必要があります。
- 2022年11月30日より前に追加されたセキュリティキーは再登録してください。