MFA用の生体認証デバイスを使用したWebAuthnの設定
WebAuthn入門と、Auth0がWebAuthnをセキュリティキーとデバイスの生体認証の両方で実装する方法については、「WebAuthnを使ったFIDO認証」をご覧ください。
利用可能性はAuth0プランとログイン方式によって異なる
この機能が利用できるかどうかは、使用しているログイン実装とAuth0プラン(または契約)によります。詳細については、「価格設定」をお読みください。
カスタムドメインを設定する場合は、WebAuthnを運用環境でロールアウトする前に行ってください。カスタムドメインを設定・変更すると、以前に登録したユーザーが認証できなくなります。
ユーザーの認証に使用するドメインを指定するには、[Relying Party(証明書利用者)]設定を使用します。
Dashboardの使用
Dashboard>Security>Multifactor Authに移動して、[WebAuthn with Device Biometrics(生体認証デバイスを使用したWebAuthn)]を有効にします。唯一の要素を有効にすることはできないため、追加の要素を有効にする必要があります。
証明書利用者を構成する
WebAuthnは、資格情報をブラウザーのオリジンとバインドして、フィッシングできないようにします。ユーザーも、登録していないサイトに対してはWebAuthnを使用できません。
資格情報をオリジンとバインドするため、カスタムドメインを構成・変更すると、変更前に登録したユーザーは認証されなくなります。
WebAuthnは、ユーザーの認証に使用されるドメインを指定できる証明書利用者 ID 属性を定義します。ブラウザーオリジンの登録可能なドメインサフィックスに設定できます。たとえば、カスタムドメインがaccounts.acme.comなら、証明書利用者IDをacme.comに設定することができます。そうすれば、ユーザーは、WebAuthn資格情報を使用してacme.comのあらゆるドメインでユーザー認証ができます。
Auth0で証明書利用者IDを指定できるのは、カスタムドメインが構成されている場合に限られます。カスタムドメインが変更された場合は、証明書利用者IDを更新しなければなりません。
デバイスの認識
生体認証デバイスを使用してWebAuthnを有効にすると、Auth0はエンドユーザーのWebAuthn対応デバイスすべてを段階的に登録しようとします。Javascriptが無効になっているブラウザ、またはWebAuthn プラットフォームauthenticatorシステムをサポートしていないブラウザでは、生体認証デバイスを使用して登録または認証するオプションは利用できません。
ユーザーにWebAuthnを要求せずに特定のデバイスが登録されたかどうかを知る決定的な方法がないため、Auth0はユーザーエージェントに依存して何をすべきかを決定します。動作はオペレーティング システムによって異なります。
ユーザーが常に同じブラウザーを使用し、携帯電話1台とPCまたはノートパソコン1台を持っている、という最も一般的な状況では、以下で述べるような動作の微妙な違いがユーザーエクスペリエンスに影響を与えることはありません。
WindowsおよびiOS 14.5以降
WindowsおよびiOS 14.5以降では、WebAuthnプラットフォームauthenticatorはoperating system level(オペレーティング システム レベル)で登録されます。ユーザーは1つのブラウザで登録し、任意のブラウザでログインできます。Auth0がユーザーのデバイスが登録されていることを検出すると、Face ID / Touch ID / Windows Hello で認証するオプションが表示されます。同じデバイスで登録した場合は、認証できるようになります。そうでない場合は失敗し、別の認証方法を使用する必要があります。
macOS
Macでは、WebAuthnプラットフォームauthenticatorは[browser(ブラウザ)]システムレベルで登録されます。ユーザーは、使用するブラウザごとにWebAuthnに登録するよう求められます。Auth0は、ユーザーがMac上のChromeから登録したことを検出すると、Mac上のChromeからログインするときにTouch IDで認証するオプションが表示されます。同じMacから登録した場合は、認証できます。そうでない場合は認証は失敗し、別の認証方法を使用する必要があります。同じMacのSafariから登録しようとすると、他の認証方法でMFAを完了するように求められ、その後Touch IDで[prompted to enroll(登録するように求められます)]。
Android
Androidでは、ChromeのみがWebAuthnプラットフォームauthenticatorsシステムをサポートしています。Auth0は、ユーザーがAndroidデバイスを登録していることを検出すると、Androidの指紋/顔認識で認証するオプションが表示されます。同じAndroidデバイスで登録した場合は、認証が可能になります。そうでない場合は失敗し、別の認証方法を使用する必要があります。
デバイス対応
生体認証デバイスを使用する前に、ユーザーは別のMFA登録を有効にする必要があります。
生体認証デバイスキーを使用するには、ブラウザでJavaScriptが有効になっていてWebAuthnプラットフォームauthenticatorsシステムがサポートされている必要があります。これらの条件が満たされない場合、Auth0はデバイスの登録または認証のオプションを提供しません。Auth0はユーザーに別の要素を要求します。
主要なブラウザーやオペレーティングシステムの最新バージョンでは、セキュリティキーを使ったWebAuthnに対応しています。詳細については、webauthn.meのブラウザサポートセクションをご覧ください。
制限事項
プログレッシブ登録プロンプト以外に、WebAuthn生体認証デバイスを使用して登録する方法はありません。
MFA APIの使用では、WebAuthnにある登録内容をリスト表示して削除することはできますが、登録はできません。
ユーザーは、生体認証デバイスを備えたWebAuthnを使用して、タイプごとに1つのデバイスのみを登録できます(電話1台、タブレット1台、ラップトップ/デスクトップ1台)。ユーザーが同じタイプの別のデバイスを登録する場合は、最初のデバイスを登録解除する必要があります。
Webauthn.me
Auth0はwebauthn.meを管理しており、そこにはWebAuthnに関する詳細な情報と、WebAuthnをサポートするブラウザの最新リストが掲載されています。