Identity as a Service:WebAuthn ログイン

はじめに

WebAuthn は、Fast Identity Online (FIDO) 2.0 のコンポーネントです。

WebAuthn は、最適なエクスペリエンスとハードウェアレベルのセキュリティを提供することにより、Web ページへのパスワードレスログインを実装します。WebAuthn を使用すると、ユーザーは PC のネイティブデバイス暗号化機能と生体認証機能を使用して Web サイトにログインできます。

以下のタイプの認証器がサポートされています。

• クロスプラットフォーム認証器（ローミング認証器とも呼ばれます）: YubiKeyなど、さまざまなデバイスで使用される外部認証器。

• プラットフォーム認証器: macOS Touch IDやWindows Helloなど、ブラウザーのネイティブ認証器。

詳細については、「WebAuthn」をご参照ください。

WebAuthnは、ほぼすべての最新のブラウザーでサポートされています。 ブラウザーのバージョン互換性を確認する方法の詳細については、「Duo Passwordless」をご参照ください。

ログイン例

ユーザーはユーザー名のみを入力してログオンできます。 ユーザーはパスワードを入力する必要はありません。 次のビデオは、WebAuthnのデバイス情報を登録する方法を示しています。

認証器を登録する

ユーザーが認証器を使用してログオンする前に、ユーザーは認証器を自分のアカウントにバインドする必要があります。

[マイアカウント] ページに移動します。 [セキュリティ情報] セクションで [webauthn認証器] を見つけて、[管理] をクリックします。 [WebAuthn認証器の管理] パネルで、認証器を登録します。

登録プロセスは完了するまでに1分かかります。 [新しい認証器の登録] をクリックした後、プロンプトに従って構成を完了します。

登録が完了すると、有効化された認証器をログオンに使用できます。 ユーザーは登録済みの認証器を管理することもできます。

ログインシナリオ

シナリオ 1: パスワードレスログイン

WebAuthnは、パスワードなしログオンに使用できます。 これは、WebAuthnが使用される最も一般的で便利なシナリオの1つです。

IDaaSログオンページで、ユーザーはユーザー名を入力し、検証のためにWebAuthn認証方式を選択します。 ユーザーが認証に合格した後、アプリケーションにログオンします。 この方法は、すべてのWebアプリケーションへのログオンに使用できます。 次のフローチャートは、プロセスを示しています。

[サインイン] ページの [全般] タブで、[認証方式] セクションにWebAuthn認証器方式が表示されます。 デフォルトでは、この方式は無効になっています。 方式を使用する前に、方式を有効にする必要があります。

方式を有効にすると、ログオンページでWebAuthnログオンオプションが使用可能になります。 その後、ユーザーはWebAuthnを使用してログオンできます。 次の図は、macOS Touch IDをログオンに使用する例を示しています。

IDaaSは、特定のアカウントの登録済み認証器に関する情報を取得します。 認証器が登録されていない場合、エラーが発生し、認証器を使用できません。

シナリオ 2: 多要素認証 (MFA)

WebAuthnは、MFAに使用できます。 これは、WebAuthnが使用される最も一般的で最も安全なシナリオの1つでもあります。

MFAが有効になっている場合、ユーザーはユーザー名とパスワードを入力した後に再認証する必要があります。 ユーザーはWebAuthn認証器を使用して安全にログオンできます。 次のフローチャートは、プロセスを示しています。

[サインイン] ページの [認証構成] タブで、[2段階認証] タブをクリックします。 [2段階認証] をオンにし、[webauthn] を選択して、[保存] をクリックします。

その後、ユーザーはログオンページでユーザー名とパスワードを入力した後に再認証する必要があります。 ユーザーがWebAuthn認証器を登録している場合、ユーザーはWebAuthnを使用して迅速かつ安全にID認証を完了できます。 次の図は、macOS Touch IDをMFAに使用する例を示しています。