FIDO2(WebAuthn)のサポートと動作

FIDO2(WebAuthn)は、ほとんどのWebブラウザーとオペレーティングシステムでサポートされています。Oktaは、登録と認証に標準のブラウザーAPIを使用します。

セキュリティキー

すべての主要ブラウザーがClient to Authenticator Protocol 2(CTAP2)をサポートしています。AuthenticatorのPINが登録されている場合、ChromeではPINを使用したCTAP2がサポートされます。

セキュリティキーを削除すると、Oktaの既存のWebAuthn登録と、Touch IDやWindows Helloなどのプラットフォーム上のAuthenticatorが無効になります。

Authenticatorグループを使用している場合、FIDO U2F(universal 2nd factor)を使用するセキュリティキーの登録はサポートされません。[User Verification(ユーザー検証)][Discouraged(非推奨)]に設定され、セキュリティキーにPINが設定されている場合、Chromeでの登録はサポートされません。キーの登録時にOktaによるセキュリティキーのメーカーとモデルの確認を求められた場合、ユーザーはそれを許可する必要があります。

Edge

Edgeでは、顔認証またはPINを使用してWebAuthnに登録すると、他の認証方法(指紋など)も登録されます。

Chrome

Chromeでは、プラットフォームAuthenticatorとローミングAuthenticatorの両方が登録されていて使用可能な場合、デフォルトでプラットフォームAuthenticatorが表示されます。

Chromeでパスワード、クッキー、その他のサインインデータを消去すると、WebAuthnプラットフォームオーセンティケーターがユーザーのChromeプロファイルから削除されます。さらに、ユーザーのOktaアカウントからAuthenticator登録が削除されます。

ChromeでApple Touch IDをリセットすると、Oktaでユーザーの既存のTouch ID WebAuthn登録が無効になります。ChromeTouch IDを非アクティブ化すると、それを再びセットアップするまでTouch ID WebAuthnの登録ができなくなります。

Windows

Windowsでは、[User Verification(ユーザー検証)][Preferred(推奨)]に設定されている場合、PINがセットアップされていなくても、PINを使用したCTAP2 AuthenticatorでPINが強制適用されます。ユーザーは、[End-user Dashboard(エンドユーザーダッシュボード)][Settings(設定)][Security Methods(セキュリティ方式)]で登録済みのFIDO2(WebAuthn)AuthenticatorごとにPINをセットアップする必要があります。他のオペレーティングシステムでは、AuthenticatorにPINがセットアップされている場合のみ、[推奨(Preferred)]設定でPINが強制適用されます。