MFAのために秘密鍵でWebAuthnを構成する

セキュリティキーとデバイスの生体認証の両方で実装する方法については、「WebAuthnを使ったFIDO認証」をご覧ください。

1. ［Dashboard］>［Security（セキュリティ）］>［Multi-factor Auth（多要素認証）］に移動して、［WebAuthn with Security Keys（WebAuthnとセキュリティキー）］を有効にします。

2. ユーザー検証をどのように処理したいかを構成します。一般的に、セキュリティキーを使用したユーザー検証は、ユーザーにPINの入力を要求してWebAuthnのチャレンジを完了します。

   1. Never（行わない）：ユーザーはPINの入力を決して要求されません。これがデフォルトの値で、MFAにセキュリティキーを使用する際には通常、問題なく動作します。ユーザーはすでにパスワードを入力しているため、何らかの確認はすでに終わっていることになります。

   2. If supported（対応できれば）：ユーザーがすでに鍵にPINを設定している場合には、PINの入力が要求されます。

   3. Required（必須）：ユーザーがまだ設定していない場合にはPINの設定を要求し、ユーザーは毎回必ずPINの入力が必要となります。このオプションが最高のセキュリティを提供します。一部のブラウザー（iOSのBraveなど）ではこれが適切に実装されないため、認証に失敗し、Auth0が別のブラウザーを使用するようユーザーに求めます。

ユーザー検証に対応しているのが、FIDO-2準拠のセキュリティキーのみであることに注意してください。FIDO-1のキーはWebAuthnで使用できますが、ユーザー検証を［Required（必須）］に設定すると効果がなくなります。

WebAuthnは、資格情報をブラウザーのオリジンとバインドして、フィッシングできないようにします。ユーザーも、登録していないサイトに対してはWebAuthnを使用できません。

資格情報をオリジンとバインドするため、カスタムドメインを構成・変更すると、変更前に登録したユーザーは認証されなくなります。

WebAuthnは、ユーザーの認証に使用されるドメインを指定できる証明書利用者 ID 属性を定義します。ブラウザーオリジンの登録可能なドメインサフィックスに設定できます。たとえば、カスタムドメインがaccounts.acme.comなら、証明書利用者IDをacme.comに設定することができます。そうすれば、ユーザーは、WebAuthn資格情報を使用してacme.comのあらゆるドメインでユーザー認証ができます。

Auth0で証明書利用者IDを指定できるのは、カスタムドメインが構成されている場合に限られます。カスタムドメインが変更された場合は、証明書利用者IDを更新しなければなりません。

セキュリティキーを使用するには、ブラウザーがJavaScriptを有効に設定しており、WebAuthnに対応している必要があります。これらの条件が満たされない場合、Auth0はセキュリティキーでの登録や認証を提供しません。Auth0は別の要素か復旧コード（他に要素が登録されていない場合）を用いてチャレンジします。

主要なブラウザーやオペレーティングシステムの最新バージョンでは、セキュリティキーを使ったWebAuthnに対応しています。詳細については、webauthn.meの「ブラウザーサポート」セクションをお読みください。

• MFA APIの使用では、WebAuthnにある登録内容をリスト表示して削除することはできますが、登録はできません。

• MFA用の生体認証デバイスを使用したWebAuthnの設定