> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# パスワードレス認証のための生体認証デバイスによるWebAuthnの構成

> パスワードレス認証のための生体認証デバイスによるWebAuthnの構成方法について説明します。

ユーザーがパスワードの代わりに生体認証デバイスによる[WebAuthn](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn)を使用して認証できるように、ユニバーサルログインを構成できます。

生体認証デバイスによるWebAuthnは、現在利用可能なものの中で最もセキュアな認証要素であり、セキュリティを犠牲にすることなく、ログインの手間を大幅に軽減します。

<Warning>
  この機能はAuth0データベース接続で使用しなければなりません。[［Auth0 Dashboard］ > ［Authentication（認証）］ > ［Database（データベース）］](https://manage.auth0.com/#/connections/database)に移動して、データベース接続を選択します。詳細については、「[データベース接続](/docs/ja-JP/ja-jp/authenticate/database-connections)」をお読みください。
</Warning>

<div id="prerequisite">
  ## 前提条件
</div>

WebAuthn生体認証デバイスでパスワードレスを有効にするには、以下の手順に従う必要があります。

1. ユニバーサルログインエクスペリエンスが有効になっていること、そして、ログインページのHTMLが[［ダッシュボード（Dashboard）］ > ［ユニバーサルログインダッシュボード（Universal Login）］](https://manage.auth0.com/#/login_settings)でカスタマイズされていないことを確認します。
2. [［Dashboard］ > ［認証プロファイル）］](https://manage.auth0.com/#/authentication-profiles)で **［Identifier First + Biometrics（Identifier First + 生体認証）］** を選択します。これによって、多要素認証セクションで[生体認証デバイスによるWebAuthn](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn/configure-webauthn-device-biometrics-for-mfa)がまだ有効になっていない場合、自動的に有効になります。
3. [カスタムデータベース接続](/docs/ja-JP/ja-jp/authenticate/database-connections/custom-db)を使用する場合、 **［インポートモード（Import Mode）］** が **［オン（On）］** に設定されていることを確認してください。設定されていない場合、[getUserスクリプト](/docs/ja-JP/ja-jp/authenticate/database-connections/custom-db/templates/get-user)を実行すれば同じ効果が得られます。

<div id="how-does-it-work">
  ## 仕組み
</div>

ユーザー名/メールとパスワードで認証し、[生体認証デバイスによるWebAuthnを使用できる](https://webauthn.me/browser-support)デバイスを持っているユーザーには、デバイスを登録するオプションが与えられます。

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/8DIt0xu_-cUu1jhk/docs/images/ja-jp/cdy7uua7fh8z/1JfsIYEo3O7xmTAxLRwNSs/2f2ba478ff32b0aa86f4f01cd6c0cf3b/2023-01-31_16-34-09.png?fit=max&auto=format&n=8DIt0xu_-cUu1jhk&q=85&s=c4f65186b94d002e2ede78beef65dd0f" alt="Example of setting up a Face ID login for specific domain using WebAuthn" width="2028" height="773" data-path="docs/images/ja-jp/cdy7uua7fh8z/1JfsIYEo3O7xmTAxLRwNSs/2f2ba478ff32b0aa86f4f01cd6c0cf3b/2023-01-31_16-34-09.png" />
</Frame>

この機能を有効にすると、［このデバイスで手早くログイン（Login Faster on This Device）］ダイアログボックスでユーザーにいくつかのオプションを提供します。ユーザーは、デバイスを登録するか、エンロールメントをスキップして、プロンプトが表示される回数を減らすことができます。

<table class="table">
  <thead>
    <tr>
      <th>オプション</th>
      <th>説明</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td>`Continue`</td>
      <td>ユーザーに生体認証の要素を登録するよう要求する</td>
    </tr>

    <tr>
      <td>`Remind me later`</td>
      <td>登録をスキップし、2週間後に再登録するよう要求する</td>
    </tr>

    <tr>
      <td>`Not on this device`</td>
      <td>1年間またはAuth0のクッキーがユーザーのブラウザーに保存されている間は登録するよう要求しない</td>
    </tr>
  </tbody>
</table>

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/PUgbyUqJRl3iBJzI/docs/images/ja-jp/cdy7uua7fh8z/1w3jwsf0ihbTD0BNudRXN9/de2288b561a3f34397a92f1ad4072289/2025-01-27_12-28-44.png?fit=max&auto=format&n=PUgbyUqJRl3iBJzI&q=85&s=1f2b36b51e99793a46bbbc84ce2249d3" alt="Login - webauthn biometrics - log in faster on this device" width="390" height="533" data-path="docs/images/ja-jp/cdy7uua7fh8z/1w3jwsf0ihbTD0BNudRXN9/de2288b561a3f34397a92f1ad4072289/2025-01-27_12-28-44.png" />
</Frame>

顧客が自分のデバイスを登録することを決定した場合、次にそのデバイスから認証する際、デバイス生体認証またはパスワードのどちらを使うか選択できます。

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/xBEuvOEiZgMgyXPQ/docs/images/ja-jp/cdy7uua7fh8z/4DkewyodXBQ3gncybz7KPI/873d6a3eafb644ee605daa209006d1b3/Docs_Login.png?fit=max&auto=format&n=xBEuvOEiZgMgyXPQ&q=85&s=068c1cc2d3713e71f37710c54ce82fed" alt="Example of using Fingerprint or Face Recognition to login to a domain" width="1558" height="773" data-path="docs/images/ja-jp/cdy7uua7fh8z/4DkewyodXBQ3gncybz7KPI/873d6a3eafb644ee605daa209006d1b3/Docs_Login.png" />
</Frame>

この機能は「プログレッシブ登録」と呼ばれ、開発者とユーザーの両方にとってWebAuthnベース認証への移行ができるだけ簡単になるように設計されています。

<div id="multi-factor-authentication">
  ## 多要素認証
</div>

生体認証デバイスによるWebAuthnによって、多要素認証を実行するために別の認証方法は不要になります。 **生体認証デバイスによるWebAuthnは、持っているもの（デバイス）と、本人の情報（生体認証）または知っているもの（パスコード）という2つの要素を1つに統合します** 。

それによって、以下の結果が得られます。

* ダッシュボードで<Tooltip data-tooltip-id="react-containers-DefinitionTooltip-0" href="/docs/ja-JP/ja-jp/glossary?term=multifactor-authentication" tip="多要素認証（MFA）: ユーザー名とパスワードに加えて、SMS経由のコードなどの要素を使用するユーザー認証プロセス。" cta="用語集の表示">MFA</Tooltip>を有効にすると、ユーザーが生体認証によるWebAuthnを第一要素として認証した場合、Auth0はMFAのプロンプトを表示しません。
* MFAが有効化され、ユーザーが新しいアカウントを作成すると、以下の手順を行います。

  * ユーザー名/パスワードでユーザーを作成します。
  * どのデバイスでもMFAを完了できるように、生体認証以外の認証方法でMFAに登録します。
  * オプションとして生体認証デバイスで登録できます。

次にログインする際、パスワード + 別の認証方法、または生体認証デバイスでログインできます。

* ユーザーがWebAuthn生体認証を唯一の認証方法として使用して認証する場合、IDトークンの`amr`値は`mfa`に設定されます。
* 拡張性プラットフォームからMFAを有効にしたい場合、ユーザーの認証方法を考慮し、MFAのプロンプトを表示するかどうかを決定できます。以下のルールは、ユーザーが`webauthn-platform`認証方法で認証しなかった場合にのみMFAを実行します。

```javascript javascript lines theme={null}
function (user, context, callback) {
  let authMethods = context.authentication.methods;

  const amr = authMethods.find((method) => method.name === 'webauthn-platform');

  if (!amr) {
    context.multifactor = {
      provider: 'any',
      allowRememberBrowser: false
    };
  }
  return callback(null, user, context);
}
```

このログイン後のアクションでも効果は同じです。

```javascript javascript lines theme={null}
exports.onExecutePostLogin = async (event, api) => {
  let authMethods = event.authentication.methods;

  let amr = authMethods.find((method) => method.name === 'webauthn-platform');

   if (!amr) {
     api.multifactor.enable('any');
  }
};
```

<div id="device-recognition">
  ## デバイス認識
</div>

Auth0はルールを使用して、デバイスが登録済みかどうかを判断し、ユーザーにエンロールメントを指示します。詳細については、「[MFAのためにデバイス生体認証を使ってWebAuthnを構成する](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn/configure-webauthn-device-biometrics-for-mfa)」の「[デバイス認識](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn/configure-webauthn-device-biometrics-for-mfa#device-recognition)」をご覧ください。

ユーザー列挙攻撃を避けるため、Auth0は、ユーザーが既知のデバイスからログインする場合にのみ、ユーザーに第一要素として生体認証を指示します。それ以外の場合、パスワードを使用してログインする必要がある。

例：

* ユーザーがWindowsのChromeからログインし、Windows Helloで登録されます。エンロールメント情報の一部として、Auth0は、ユーザーがWindowsデバイスから登録したことを認識し、ユーザーエージェントを認識するために「既知のデバイス」を保存します。
* 次にChromeからログインする際、パスワードの代わりにWindows Helloを使用するよう指示します。
* ユーザーが後でWindowsのFirefoxからログインする場合、「既知のデバイス」クッキーが存在しないため、ユーザーはパスワードでログインする必要があります。すでにWindows Helloに登録されているため、再登録を促すプロンプトは表示されません。
* 次にFirefoxからログインする際、Windows Helloの使用を指示します。

これによって、攻撃者は、ユーザーがアカウントを持っているかどうか、そして、サイトへの認証にWebAuthn生体認証デバイスを使用したかどうかを知ることができなくなります。

<div id="webauthnme">
  ## Webauthn.me
</div>

Auth0は、WebAuthnに関する[詳細な情報](https://webauthn.me/introduction)と、WebAuthnをサポートしているブラウザの最新のリストがある[webauthn.me](https://a0.to/webauthme-auth0-docs)を維持しています。

<div id="learn-more">
  ## もっと詳しく
</div>

* [パスワードレスを使ってユニバーサルログインを構成する](/docs/ja-JP/ja-jp/authenticate/login/auth0-universal-login/passwordless-login)
* [パスワードレス認証にメールまたはSMSを構成する](/docs/ja-JP/ja-jp/authenticate/login/auth0-universal-login/passwordless-login/email-or-sms)
* [MFA用の生体認証デバイスを使用したWebAuthnの設定](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn/configure-webauthn-device-biometrics-for-mfa)
* [FIDO認証（WebAuthn）](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn)
