FIDO2(WebAuthn)オーセンティケーターを構成する
FIDO2(WebAuthn)オーセンティケーターでは、生体認証方法を使用して認証できます。このオーセンティケーターは、次の2つの認証方法をサポートしています。
- YubiKeyやGoogle Titanなどのセキュリティキー。
- デバイスに統合されていて、Windows HelloやApple Touch IDなどの生体認証データを使用するプラットフォーム認証。
このオーセンティケーターを使用すると、新しい登録、認証登録ポリシー、ユーザー検証のためにOrgで許可される FIDO2(WebAuthn)オーセンティケーターを管理することもできます。
FIDO2(WebAuthn)はFIDO2 Web認証(WebAuthn)標準に準拠しています。このオーセンティケーターを有効にすると、エンドユーザーはOktaへのサインイン時にこのオーセンティケーターを選択したり、追加の認証に使用したりできます。
ワンタイムパスワード(OTP)モードを使用するようにYubiKeyをセットアップおよび管理する方法については、「YubiKey OTPオーセンティケーターを構成する」を参照してください。
オーセンティケーターとしてFIDO2(WebAuthn)を追加する
- Admin Consoleで、 に移動します。
- [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [FIDO2(WebAuthn)]タイルの[Add(追加)]をクリックします。
- [User Verification(ユーザー検証)]設定を選択します:
- [Discouraged(非推奨)]:ユーザーがFIDO2(WebAuthn)オーセンティケーターに登録する際、ユーザー検証を求められません。これは、さまざまなオペレーティングシステムからサインインするエンドユーザーに対して一貫したエクスペリエンスを提供するためのデフォルト設定です。
- [Preferred(推奨)]:ユーザーがFIDO2(WebAuthn)オーセンティケーターに登録する際、ユーザー検証を求められます。
- [Required(必須)]:ユーザーがFIDO2(WebAuthn)オーセンティケーターに登録する際、常にユーザー検証を求められます。ユーザーは、ユーザー検証をサポートしているオーセンティケーターに登録する必要があります。この設定は、Touch IDを使用するFIDO2(WebAuthn)など、ユーザー検証を必要とするオーセンティケータ-に使用します。
- [Add(追加)]をクリックします。
Oktaでは、次のバックアップ方法を推奨しています。
- 特定のデバイスにバインドされていないオーセンティケーターを追加するようエンドユーザーに勧めます。ユーザーが携帯電話でオーセンティケーターを1つしかセットアップしていない場合、携帯電話を紛失すると認証を完了できません。
- 複数のブラウザーと複数のデバイスで FIDO2(WebAuthn)登録を作成するようエンドユーザーに勧めます。ユーザーが1つのブラウザーで1つのセキュリティキーまたは生体オーセンティケーターのみをセットアップしている場合、ブラウザーがセキュリティキーまたは生体オーセンティケーターをブロックしたり、デバイスを紛失したりすると、認証を完了できません。
Oktaが認識するWebAuthnオーセンティケーターのリストを表示する
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
オーセンティケーターのリストを検索して、Oktaでサポートされているオーセンティケーター、タイプ、FIPS準拠ステータス、ハードウェア保護ステータスを確認します。このリストは、FIDOメタデータサービスによって提供されます。
オーセンティケーターのリストを表示する前に、FIDO2(WebAuthn)をオーセンティケーターとして追加する必要があります。
- Admin Consoleで、 に移動します。
- [Setup(セットアップ)] タブで、[FIDO2(WebAuthn)]行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
- [Authentication settings(オーセンティケーターの設定)]タブを選択します。
- [View list of Okta-recognized authenticators(Oktaが認識するオーセンティケーターのリストを表示)]をクリックします。
- 特定のOkta認識オーセンティケーターを検索するには、検索フィールドをクリックして、オーセンティケーター名またはオーセンティケーターのAttestation Global Unique Identifier(AAGUID)番号の入力を開始します。
- 探しているオーセンティケーターがリストにない場合は、ページの上部にある[[Learn to register an authenticator with FIDO(FIDOのオーセンティケーター登録の詳細)] リンクをクリックします。
オーセンティケーターグループを追加する
オーセンティケーターグループを作成する前に、FIDO2(WebAuthn)をオーセンティケーターとして追加する必要があります。
- Admin Consoleで、 に移動します。
- [Setup(セットアップ)] タブで、[FIDO2(WebAuthn)]行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
- [Authentication settings(オーセンティケーターの設定)]タブを選択します。
- [Add authenticator group(オーセンティケーターグループを追加)]をクリックします。
- [Authenticator group name(オーセンティケーターグループ名)]に、グループ名を入力します。
- [FIDO2(WebAuthn)authenticators in this group(このグループのFIDO2(WebAuthn)オーセンティケーター]内をクリックし、グループに追加するオーセンティケーターを選択します。オーセンティケーター名またはAAGUID番号の入力を開始してリストを絞り込むこともできます。フィールドにオーセンティケーターが表示されます。
- [FIDO2(WebAuthn)authenticators in this group(このグループのFIDO2(WebAuthn)オーセンティケーター]内を再度クリックし、グループに追加する別のオーセンティケーターを選択します。リストから選択するか、名前またはAAGUID番号の入力を開始します。
- 誤ってオーセンティケーターを追加した場合は、[FIDO2(WebAuthn)authenticators in this group(このグループのFIDO2(WebAuthn)オーセンティケーター]のオーセンティケーター名の横にあるXをクリックして削除します。
オーセンティケーターグループを編集する
- Admin Consoleで、 に移動します。
- [Setup(セットアップ)] タブで、[FIDO2(WebAuthn)]行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
- [Authentication settings(オーセンティケーターの設定)]タブを選択します。
- [Authenticator groups(オーセンティケーターグループ)]リストでオーセンティケーターを見つけます。
- [Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
- オーセンティケーターグループの名前を編集するか、[FIDO2(WebAuthn)authenticators in this group(このグループのFIDO2(WebAuthn)オーセンティケーター]内をクリックしてオーセンティケーターをリストに追加または削除します。
オーセンティケーターグループを削除する
オーセンティケーターグループを削除する前に、それを含むすべての認証登録ポリシーから削除する必要があります。「認証登録ポリシーからオーセンティケーターグループを削除する」を参照してください。
- Admin Consoleで、 に移動します。
- [Setup(セットアップ)] タブで、[FIDO2(WebAuthn)]行の[Actions(アクション)]をクリックし、[Edit(編集)]を選択します。
- [Authentication settings(オーセンティケーターの設定)]タブを選択します。
- [Authenticator groups(オーセンティケーターグループ)]リストでオーセンティケーターを見つけます。
- [Actions(アクション)]をクリックし、[Delete(削除)]を選択します。
認証登録ポリシーからオーセンティケーターグループを削除する
オーセンティケーターグループを削除する前に、そのグループが含まれるすべての認証登録ポリシーからそのグループを削除する必要があります。詳細については、「オーセンティケーター登録ポリシーを作成する」を参照してください。
- 管理コンソールで に移動します。
- [Enrollment(登録)]タブをクリックします。
- リストからポリシーを選択し、Eligible authenticators(対象オーセンティケーター)リストからFIDO2(WebAuthn)を見つけます。
- [FIDO2(WebAuthn)]に[Authenticators from selected group list(選択したグループリストからのオーセンティケーター)]がある場合は、[Edit(編集)]をクリックします。
- [FIDO2(WebAuthn)]セクションで、以下のいずれかのオプションを選択します。
- Any WebAuthn authenticators(すべてのWebAuthオーセンティケーター):すべてのFIDO2(WebAuthn)オーセンティケーターを使用できるようにします。
- Authenticators from selected group list(選択したグループリストからのオーセンティケーター):リストのオーセンティケーター名の横にあるXをクリックして削除します。
- [Update policy(ポリシーを更新)]をクリックします。
- 各ポリシーで、削除するオーセンティケータ グループを使用するポリシーを見つけ、この手順を繰り返します。
ユーザーのFIDO2セキュリティキーを登録する
管理者は、名前がOktaディレクトリに表示されるユーザーに代わってセキュリティ・キーを登録できます。
- Okta Admin Consoleで、 に進みます。
- 検索フィールドにユーザー名を入力し、[Enter(入力)]をクリックします。または、[Show all users(すべてのユーザーを表示)]をクリックし、リストでユーザーを見つけて、ユーザーの名前をクリックします。
- [More Actions(その他のアクション)]メニューで、[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]を選択します。
- [Enrollment(登録)]をクリックします。[Verify your identity(IDを確認)]プロンプトがブラウザーに表示されます。
- [USB security key(USBセキュリティキー)]オプションを選択し、ブラウザーのプロンプトに従います。
- [Allow this site to see your security key?(このサイトへのセキュリティキーの公開を許可しますか?)]プロンプトが表示されたら、[Allow(許可)]をクリックします。
- [Close(閉じる)]または[Register another(ほかにも登録)]をクリックします。
ブラウザー固有の考慮事項
- Apple M1プロセッサーを搭載したApple MacintoshコンピューターでSafariブラウザーを使用すると、FIDO2(WebAuthn)オーセンティケーターが正しく機能しないことがあります。
- Google Chromeブラウザーでは、ブラウザーのアップデートが必要な場合、FIDO2(WebAuthn)オーセンティケーターは使用できません。FIDO2(WebAuthn)機能は、アップデートの適用後にブラウザーを再起動すると復元されます。
エンドユーザーエクスペリエンス
WebAuthnセキュリティキーまたは生体認証オーセンティケーターを登録すると、ユーザーは、その特定の登録済みオーセンティケーターに関する情報の収集をOktaに許可するよう求められます。これにより、各FIDO2(WebAuthn)オーセンティケーターがユーザーの[Settings(設定)]ページの[Extra Verification(追加の確認)]セクションに名前順で表示されます。
ユーザーがFIDO2(WebAuthn)オーセンティケーターのみに登録されている場合、FIDO2(WebAuthn)オーセンティケーターまたはデバイスに問題が発生した際に、アカウントに認証できなくなるリスクがあります。
Touch IDなどのFIDO2(WebAuthn)オーセンティケーターの登録は、1つのデバイス上の1つのブラウザープロファイルに関連付けられます。ユーザーがFIDO2(WebAuthn)オーセンティケーターを複数のブラウザーまたはデバイスで使用したい場合は、ブラウザーおよびデバイスごとに新しいFIDO2(WebAuthn)登録を作成する必要があることを伝えます。また、Google Chromeブラウザーに複数のGoogleアカウントプロファイルがある場合、それらのGoogleアカウントプロファイルごとに新しいFIDO2(WebAuthn)登録を作成する必要があります。
さらに、*.okta.com URLでFIDO2(WebAuthn)オーセンティケーターを有効にすると、FIDO2(WebAuthn)オーセンティケーターは、*.okta.com URLを使用したOrgへのアクセスのみを許可します。Okta orgのカスタムURLを使用してFIDO2(WebAuthn)オーセンティケーターを有効にすると、FIDO2(WebAuthn)オーセンティケーターは、そのカスタムURLからOrgへのアクセスのみを許可します。ユーザーが両方のURLからOrgにアクセスできるようにするには、両方のURLでFIDO2(WebAuthn)オーセンティケーターを有効にする必要があります。
パスキー管理
パスキーは、複数デバイスでFIDO資格情報が存在する場合があるFIDO2標準の実装です。パスキーがあると、WebAuthn資格情報をバックアップしたりデバイス間で同期したりできます。これによりWebAuthn/FIDOの強力なキーベース/フィッシング不可能な認証モデルが保持され、一部のWebAuthnオーセンティケーターで利用可能なデバイスバウンドキーや証明などの一部のエンタープライズセキュリティ機能に代わるものになります。ユーザーはセキュリティキーや、多要素認証チャレンジ用に通知を受け取るスマートフォンを用意する必要がなくなります。資格情報はひとつのデバイスに限られていないため、ユーザーは登録済みのあらゆるデバイスを使用して認証できます。
管理対象デバイス環境では、ユーザーはアンマネージドデバイスをパスキーの資格情報に登録したり、これらのデバイスを使用して企業システムへのアクセスを得たりできます。Oktaを使用すると、管理者はorg全体で新しいFIDO2(WebAuthn)でのパスキーの使用をブロックできます。この機能がオンになっている場合、ユーザーは事前登録されたパスキーを使用して新しいアンマネージドデバイスを登録できません。
パスキーの使用をブロック
-
Admin Consoleで、 に移動します。
- [Block Passkeys for FIDO2 (WebAuthn) Authenticators(FIDO2(WebAuthn)オーセンティケーターでパスキーをブロックする)]オプションのトグルスイッチをクリックして切り替えます。
Orgでパスキーの使用をブロックすると、macOS Monterreyを利用するユーザーはSafariブラウザーを使用してTouch IDに登録できなくなります。
また、パスキーの使用をブロックすると、デバイスでiOS 16を利用するiPhoneユーザーはFIDO2(WebAuthn)認証を使用できなくなります。パスキーの使用をブロックする必要がある場合は、Okta FastPassや、NFCかUSB-Cをサポートするセキュリティキーを有効にすることをお勧めします。iOS 16を実行しているデバイスの登録は、パスキー以外の用途でのパスキーの使用をブロックした後にサポートされます。
既知の問題 - セキュリティキーの登録
AAGUIDベースの許可リストを使用する場合、セキュリティキーの登録にはいくつかの制限があります。
- 2022年11月30日以前に行われた登録はサポートされません。
- FIDO U2Fを使った登録はサポートされません。
- Firefoxでの登録は現在サポートされません。
- [User Verification(ユーザー検証)]が[Discouraged(非推奨)]に設定され、セキュリティキーにPINが設定されている場合、Chromeでの登録は現在サポートされません。
- 登録時に求められた場合、ユーザーはセキュリティキーのメーカーとモデルの確認をOktaに許可する必要があります。