FIDO MDSとカスタムauthenticatorのレビューと管理

Oktaで使用できるAuthenticatorを確認するには、FIDO Metadata Service(MDS)のAuthenticator Attestation Global Unique Identifier(AAGUID)リストを検索します。リストには各AuthenticatorのAuthenticator Attestation Global Unique Identifier(AAGUID)番号、種類、FIPS準拠の状況、およびハードウェア保護の状況が表示されます。これを見て、環境と互換性があり、必要な保護機能があり、セキュリティ標準に準拠するAuthenticatorを選択してください。

AuthenticatorがFIDO MDS AAGUIDリストに表示されないときは、カスタムAAGUIDリストに追加できます。FIDO MDS AAGUIDリストにすでに存在するエントリーをカスタムAAGUIDリストに追加すると、カスタムエントリーによってFIDO MDSエントリーがオーバーライドされます。

リストは、FIDO AllianceのWebサイトからダウンロードできます。「FIDOアライアンスメタデータサービス」を参照してください。FIDO MDS AAGUIDとカスタムAAGUIDのリストは、パスキー(FIDO2 WebAuthn) Authenticatorを追加した後にのみOktaで表示できます。

  1. Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

  2. セットアップ(Setup)タブで、パスキー(FIDO2 WebAuthn)(Passkeys(FIDO2 WebAuthn))行のアクション(Actions)をクリックします。
  3. AAGUIDリスト(AAGUID list)を選択します。
  4. Okta互換のauthenticatorを検索するには、FIDO MDS AAGUIDリスト(FIDO MDS AAGUID list)(Search)セクションの検索(Search)(FIDO MDS AAGUID list) フィールドにauthenticator名またはAAGUID番号を入力します。FIDO MDS AAGUIDリスト(FIDO MDS AAGUID list)(Search)に表示されない場合は、 カスタムAAGUID(Custom AAGUID)セクションの検索(Search)(FIDO MDS AAGUID list)フィールドに同じ条件を入力します。
  5. どちらのリストにもauthenticatorが表示されないときは、カスタムAAGUIDを追加する(Add custom AAGUID)をクリックします。次のフィールドに情報を入力します。
    • 名前(Name):カスタムauthenticatorの名前を入力します。
    • AAGUID:カスタムauthenticatorのAAGUID番号を入力します。
    • 証明検証証明書を使用して認証を有効にする(Enable attestation with an attestation validation certificate):証明書ベースの認証を使用するには、このオプションを選択します。ここで証明書をアップロードすると、Oktaは証明書をユーザーのカスタムauthenticatorに配置します。証明書をアップロードしない場合、より多くのオプションが表示されます。
      • 証明書をアップロード(Upload certificate):証明検証証明書をアップロード領域にドラッグアンドドロップするか、ファイルをアップロード(Upload file)をクリックして、ファイルブラウザーから証明書を選択します。
      • 特性(Characteristics):カスタムauthenticatorに適用される特性 (ハードウェア保護(Characteristics)(Hardware protected)FIPS準拠(FIPS compliant)ローミングauthenticator(Roaming authenticator))を選択します。
  6. 保存(Save)をクリックします。
  7. カスタムauthenticatorを編集または削除するには、アクション (Actions)ドロップダウンメニューをクリックします。編集(Edit)または削除(Delete)を選択します。WebAuthn AuthenticatorグループでカスタムAAGUIDが使用されている場合、削除する前にグループから削除する必要があります。

ユーザーのFIDO2セキュリティキーを登録する

Oktaディレクトリに名前が表示されるユーザーに代わって他者がセキュリティキーを登録することができます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。

  1. Admin Consoleで、ディレクトリ(Directory) > ユーザー(People)に進みます。

  2. 検索フィールドにユーザー名を入力し、入力(Enter)をクリックします。または、すべてのユーザーを表示(Show all users)をクリックし、リストでユーザーを探してユーザー名をクリックします。
  3. その他のアクション(More Actions)メニューからFIDO2セキュリティキーを登録(Enroll FIDO2 Security Key)を選択します。
  4. 登録(Register)をクリックします。WebAuthnセキュリティを登録(Enroll WebAuthn Security)ページが表示されます。
  5. ブラウザーにパスキーを作成してorg nameにサインインしますか?(Create a passkey to sign in to ?)プロンプトが表示された場合は、キャンセル(Cancel)をクリックして、WebAuthnセキュリティを登録(Enroll WebAuthn Security)ページに戻ってください。
  6. ブラウザーの指示に従います。
  7. このサイトへのセキュリティキーの公開を許可しますか?(Allow this site to see your security key?)プロンプトが表示されたら、許可(Allow)をクリックします。
  8. 閉じる(Close)またはほかにも登録(Register another)をクリックします。