パスキー(FIDO2 WebAuthn)のアクセス制御を構成する

パスキー(FIDO2 WebAuthn)Authenticatorとポリシーを管理します。

ユーザー検証

これにより、ユーザーの確認に指紋、顔スキャン、デバイスPINなどの追加チェックが追加されます。このチェックはユーザーのデバイスで行われるため、ユーザーの生体認証データが送信されることはありません。

  • また、アプリサインインポリシーとOkta Account Managementポリシールールで必須にすることもできます。設定が競合する場合は、最も安全なオプションが常に使用されます。

  • [Create passkeys(パスキーの作成)] が有効になっている場合、 [Enrollment(登録)][Authentication(認証)]の両方でユーザー検証を[Discouraged(非推奨)]に設定すると、一部のブラウザーでパスキー資格情報が解放されなくなる場合があります。

登録

次のいずれかのオプションを選択します。これは、ユーザーがパスキーを作成するときに適用されます。

  • [Required(必須)]:ユーザーは、パスキーの作成に指紋、顔スキャン、またはPINを求められます。デバイスで行えない場合、登録は失敗します。

  • [Preferred (default)(推奨(デフォルト))]:ユーザーは指紋、顔スキャン、またはPINを求められます。デバイスがこれらの機能をサポートしていない場合でも、ユーザーは登録できます。

  • [Discouraged(非推奨)]:ユーザーは確認を求められません。別のサインイン手順で十分なセキュリティが提供される場合にのみ使用してください。

    一部のブラウザーとAuthenticatorはこの設定を無視します。

認証

次のいずれかのオプションを選択します。これは、ユーザーがパスキーを使ってサインインするときに適用されます。

  • [Required(必須)]:ユーザーは、サインインするたびに指紋、顔スキャン、またはPINの入力を求められます。これは最も安全なオプションです。

  • [Preferred (default)(推奨(デフォルト))]:ユーザーは指紋、顔スキャン、またはPINを求められます。デバイスがこれらの機能をサポートしていない場合でも、ユーザーはサインインできます。

  • [Discouraged(非推奨)]:ユーザーはサインイン時に確認を求められません。ユーザーにとって最も早い方法ですが、セキュリティは低いです。

    一部のブラウザーとAuthenticatorはこの設定を無視します。

同期パスキーをブロック

パスキーを使用することで、WebAuthn資格情報をバックアップしたり、デバイス間で同期させたりできます。パスキーは、強力なキーベースまたはフィッシング不可能な パスキー(FIDO2 WebAuthn)の認証モデルを使用します。ただし、一部の パスキー(FIDO2 WebAuthn)Authenticatorで利用できる、デバイスバウンドキーや証明などのエンタープライズセキュリティ機能は備えていません。

管理対象デバイス環境では、ユーザーはパスキーを使って管理対象外のデバイスを登録したり、それらのデバイスを認証に利用したりできます。Oktaでは、同期可能なパスキーを使った新規 パスキー(FIDO2 WebAuthn)の登録をorg全体でブロックできます。この機能が有効な場合、ユーザーは事前に登録されたパスキーを使って新しい管理対象外デバイスを登録できません。macOS上のChromeのパスキーはデバイスにバインドされ、ブロックされません。

同期パスキーをブロックするには、[Block synced passkeys(同期パスキーをブロック)]に切り替えます。

orgでFIDO2(WebAuthn)Authenticatorの同期パスキーをブロックの早期アクセス機能が有効になっている場合、この機能を無効にしない限りこのトグルは読み取り専用です。

これは証明ベースのチェックではありません。一部のAuthenticatorは、実際には同期可能な場合にデバイスバウンドキーの作成を要求することがあります。この設定は、Googleパスワードマネージャー、iCloudキーチェーン、1Passwordなどのパスワードマネージャーに保存されたものなど、同期可能なパスキーの作成が既知されているAuthenticatorをブロックします。

必要な特性

パスキー(FIDO2 WebAuthn)Authenticatorに証明書ベースの認証検証を要求できます。有効にした場合、提供されたAuthenticatorの証明書は、FIDO MDS内の関連証明書またはOkta管理者がアップロードしたカスタムAAGUID検証証明書と照合して検証される必要があります。

これらのオプションは登録と認証の両方に適用されます。

  • [Certificate-based attestation validation(証明書ベースの認証検証)]:パスキーが正規の信頼できるデバイス(認定されたセキュリティキーなど)で作成されたことを確認します。

  • [Hardware protection(ハードウェア保護)]:TPMやSecure Enclaveなどの安全なデバイスハードウェアにパスキーを保存するよう求めます。これはアプリサインインポリシーの要件と同じですが、パスキーの登録と認証に対して適用されます。

  • [FIPS compliant(FIPS準拠)]:連邦情報処理標準(FIPS)に準拠したAuthenticatorが必要です。