FIDO MDSとカスタムauthenticatorのレビューと管理

Oktaで使用できるAuthenticatorを確認するには、FIDO Metadata Service(MDS)のAuthenticator Attestation Global Unique Identifier(AAGUID)リストを検索します。リストには各AuthenticatorのAuthenticator Attestation Global Unique Identifier(AAGUID)番号、種類、FIPS準拠の状況、およびハードウェア保護の状況が表示されます。これを見て、環境と互換性があり、必要な保護機能があり、セキュリティ標準に準拠するAuthenticatorを選択してください。

AuthenticatorがFIDO MDS AAGUIDリストに表示されないときは、カスタムAAGUIDリストに追加できます。FIDO MDS AAGUIDリストにすでに存在するエントリーをカスタムAAGUIDリストに追加すると、カスタムエントリーによってFIDO MDSエントリーがオーバーライドされます。

リストは、FIDO AllianceのWebサイトからダウンロードできます。「FIDOアライアンスメタデータサービス」を参照してください。FIDO MDS AAGUIDとカスタムAAGUIDのリストは、パスキー(FIDO2 WebAuthn)Authenticatorを追加した後にのみOktaで表示できます。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(セットアップ)] タブで、[Passkeys (FIDO2 WebAuthn)(パスキー(FIDO2 WebAuthn))]行の[Actions(アクション)]をクリックします。
  3. [AAGUID list(AAGUIDリスト)]を選択します。
  4. Okta互換のauthenticatorを検索するには、[FIDO MDS AAGUID list(FIDO MDS AAGUIDリスト)]セクションの[Search(検索)] フィールドにauthenticator名またはAAGUID番号を入力します。 [FIDO MDS AAGUID list(FIDO MDS AAGUIDリスト)]に表示されない場合は、 [Custom AAGUID(カスタムAAGUID)]セクションの[Search(検索)]フィールドに同じ条件を入力します。
  5. どちらのリストにもauthenticatorが表示されないときは、[Add custom AAGUID(カスタムAAGUIDを追加する)]をクリックします。次のフィールドに情報を入力します。
    • [Name(名前)]:カスタムauthenticatorの名前を入力します。
    • [AAGUID]:カスタムauthenticatorのAAGUID番号を入力します。
    • [Enable attestation with an attestation validation certificate(証明検証証明書を使用して認証を有効にする)]:証明書ベースの認証を使用するには、このオプションを選択します。ここで証明書をアップロードすると、Oktaは証明書をユーザーのカスタムauthenticatorに配置します。証明書をアップロードしない場合、より多くのオプションが表示されます。
      • [Upload certificate(証明書をアップロード)]:証明検証証明書をアップロード領域にドラッグアンドドロップするか、[Upload file(ファイルをアップロード)]をクリックして、ファイルブラウザーから証明書を選択します。
      • [Characteristics(特性)]:カスタムauthenticatorに適用される特性 ([Characteristics(ハードウェア保護)][FIPS compliant(FIPS準拠)][Roaming authenticator(ローミングauthenticator)])を選択します。
  6. [Save(保存)]をクリックします。
  7. カスタムauthenticatorを編集または削除するには、[Actions(アクション )]ドロップダウンメニューをクリックします。[Edit(編集)]または[Delete(削除)]を選択します。WebAuthn AuthenticatorグループでカスタムAAGUIDが使用されている場合、削除する前にグループから削除する必要があります。

ユーザーのFIDO2セキュリティキーを登録する

Oktaディレクトリに名前が表示されるユーザーに代わって他者がセキュリティキーを登録することができます。これにより、従業員のオンボーディングの一部として、ラップトップや携帯電話とともにセキュリティキーをプロビジョニングできます。

  1. Admin Console[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. 検索フィールドにユーザー名を入力し、[Enter(入力)]をクリックします。または、[Show all users(すべてのユーザーを表示)]をクリックし、リストでユーザーを探してユーザー名をクリックします。
  3. [More Actions(その他のアクション)]メニューから[Enroll FIDO2 Security Key(FIDO2セキュリティキーを登録)]を選択します。
  4. [Register(登録)]をクリックします。[WebAuthnセキュリティを登録]ページが表示されます。
  5. ブラウザーに[Create a passkey to sign in to <org name>?(パスキーを作成して<org name>にサインインしますか?)]プロンプトが表示された場合は、[Cancel(キャンセル)]をクリックして、[Enroll WebAuthn Security(WebAuthnセキュリティを登録)]ページに戻ってください。
  6. ブラウザーの指示に従います。
  7. [このサイトへのセキュリティキーの公開を許可しますか?]プロンプトが表示されたら、[Allow(許可)]をクリックします。
  8. [Close(閉じる)]または[Register another(ほかにも登録)]をクリックします。