パスキー(FIDO2 WebAuthn)証明書利用者IDドメインをカスタマイズする

証明書利用者(RP)IDは、パスキーとセキュリティキーによって認証できるドメインを表します。Oktaでは、RP IDドメインをカスタマイズできます。Okta orgドメイン、カスタムドメイン、またはカスタムドメインの登録可能なサフィックスを指定できます。ユーザーは、そのドメインとサブドメインのすべてで、パスキーまたはセキュリティキーを使用して認証できるようになります。これにより、すべてのドメインでフィッシング耐性のある認証を実現できます。また、アクセスドメインごとに各ユーザーに複数のパスキーやセキュリティキーを発行する必要がなくなります。

カスタムドメインを構成する」および「ドメインとメールアドレスをカスタマイズする」を参照してください。

新規または変更されたRP IDをアクティブ化すると、Oktaは、カスタマイズされたRP IDドメインのスコープでない既存の パスキー(FIDO2 WebAuthn)Authenticator(生体認証、パスキー、セキュリティキー)をすべて無効にします。ユーザーはそれらを認証に使用できなくなります。

  • [Recommended action(推奨アクション)]:Okta APIを使用して、ユーザーの パスキー(FIDO2 WebAuthn)Authenticatorの登録をリセットします。その後、Oktaは、登録のリセット後にパスキー(FIDO2 WebAuthn)Authenticatorの再登録をユーザーに求めます。「要素の登録を解除する」を参照してください。
  • [Optional action(任意のアクション)]:End-User Dashboardの[Settings(設定)]ページで既存のパスキー(FIDO2 WebAuthn)Authenticatorの登録を手動で解除してから再登録するようにユーザーに伝えます。「Okta End-User Settings」を参照してください。ユーザーがパスキー(FIDO2 WebAuthn)Authenticatorの登録を解除しない場合、次回のサインイン時に無効化されたAuthenticatorで認証するよう求められます。これにより、orgにアクセスできなくなる場合があります。このオプションは、End-User Dashboardの[Settings(設定)]ページへのアクセスをユーザーに許可していないorgでは利用できません。

証明書利用者IDを作成する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(セットアップ)] タブで、[Passkeys (FIDO2 WebAuthn)(パスキー(FIDO2 WebAuthn))]行の[Actions(アクション)]をクリックします。
  3. [Edit(編集)]をクリックします。
  4. [Relying Party ID(証明書利用者ID)]フィールドに、Okta orgドメイン、カスタムドメイン、またはカスタムドメインの登録可能なサフィックスを入力します。
  5. [Check domain(ドメインを確認する)]をクリックします。ドメインが有効な場合、ドメイン名の下に[VERIFIED(検証済み)]と表示されます。カスタムドメインの登録可能なサフィックスを入力した場合、TXTレコード情報が表示されます。ドメインレジストラーを通じて、ドメイン登録のTXTレコードにこの情報を追加します。

    一部のドメインレジストラーは、ドメイン登録に対する変更の処理と反映に時間がかかる場合があります。想定よりも時間がかかる場合は、ドメインレジストラーにお問い合わせください。

  6. ドメイン登録でTXTレコードが更新されたら、[Check for TXT record(TXTレコードを確認する)]をクリックし、ドメインの所有権を確認します。
  7. [Save(保存)]をクリックします。
  8. RP IDをアクティブ化するには、証明書利用者IDをアクティブ化および非アクティブ化するに進みます。

証明書利用者IDをアクティブ化および非アクティブ化する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(セットアップ)] タブで、[Passkeys (FIDO2 WebAuthn)(パスキー(FIDO2 WebAuthn))]行の[Actions(アクション)]をクリックします。
  3. [Edit(編集)]をクリックします。
  4. [Customize Relying Party(証明書利用者のカスタマイズ)] 設定のオンまたはオフを切り替えます。
  5. [Save(保存)]をクリックします。
  6. 確認プロンプトで[Save changes(変更を保存)]をクリックします。

ドメインを削除する

ドメインを削除すると、ドメインが削除されて機能がオフになります。RP IDを保存すると編集することはできません。変更するには、現在のドメインを削除してから新しいRP IDを作成します。RP IDを変更した場合、既存のパスキー(FIDO2 WebAuthn)登録は機能しません。詳細については「パスキー(FIDO2 WebAuthn)証明書利用者IDドメインをカスタマイズする」の注記を参照してください。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(セットアップ)] タブで、[Passkeys (FIDO2 WebAuthn)(パスキー(FIDO2 WebAuthn))]行の[Actions(アクション)]をクリックします。
  3. [Edit(編集)]をクリックします。
  4. [Remove domain(ドメインを削除)]をクリックします。ドメインはすぐに削除されます。
  5. [Save(保存)]をクリックします。
  6. 確認プロンプトで[Save changes(変更を保存)]をクリックします。