メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt

Use this file to discover all available pages before exploring further.

WebAuthn入門と、Auth0がWebAuthnをセキュリティキーとデバイスの生体認証の両方で実装する方法については、「WebAuthnを使ったFIDO認証」をご覧ください。

利用可能性はAuth0プランによって異なる

この機能が利用できるかどうかは、使用しているログイン実装とAuth0プラン(または契約)によります。詳細については、「価格設定」をお読みください。
カスタムドメインを設定する場合は、WebAuthnを運用環境でロールアウトする前に 行ってください。カスタムドメインを設定・変更すると、以前に登録したユーザーが認証できなくなります。ユーザーの認証に使用するドメインを指定するには、[Relying Party(証明書利用者)]設定を使用します。

Dashboardの使用

  1. [Dashboard]>[Security(セキュリティ)]>[Multi-factor Auth(多要素認証)]に移動して、[WebAuthn with Security Keys(WebAuthnとセキュリティキー)] を有効にします。
  2. ユーザー検証をどのように処理したいかを構成します。一般的に、セキュリティキーを使用したユーザー検証は、ユーザーにPINの入力を要求してWebAuthnのチャレンジを完了します。
    1. Never(行わない):ユーザーはPINの入力を決して要求されません。これがデフォルトの値で、MFAにセキュリティキーを使用する際には通常、問題なく動作します。ユーザーはすでにパスワードを入力しているため、何らかの確認はすでに終わっていることになります。
    2. If supported(対応できれば):ユーザーがすでに鍵にPINを設定している場合には、PINの入力が要求されます。
    3. Required(必須):ユーザーがまだ設定していない場合にはPINの設定を要求し、ユーザーは毎回必ずPINの入力が必要となります。このオプションが最高のセキュリティを提供します。一部のブラウザー(iOSのBraveなど)ではこれが適切に実装されないため、認証に失敗し、Auth0が別のブラウザーを使用するようユーザーに求めます。
ユーザー検証に対応しているのが、FIDO-2準拠のセキュリティキーのみであることに注意してください。FIDO-1のキーはWebAuthnで使用できますが、ユーザー検証を[Required(必須)]に設定すると効果がなくなります。

証明書利用者を構成する

WebAuthnは、資格情報をブラウザーのオリジンとバインドして、フィッシングできないようにします。ユーザーも、登録していないサイトに対してはWebAuthnを使用できません。 資格情報をオリジンとバインドするため、カスタムドメインを構成・変更すると、変更前に登録したユーザーは認証されなくなります。 WebAuthnは、ユーザーの認証に使用されるドメインを指定できる証明書利用者ID属性を定義します。ブラウザーオリジンの登録可能なドメインサフィックスに設定できます。たとえば、カスタムドメインがaccounts.acme.comなら、証明書利用者IDをacme.comに設定することができます。そうすれば、ユーザーは、WebAuthn資格情報を使用してacme.comのあらゆるドメインでユーザー認証ができます。 Auth0で証明書利用者IDを指定できるのは、カスタムドメインが構成されている場合に限られます。カスタムドメインが変更された場合は、証明書利用者IDを更新しなければなりません。

デバイス対応

セキュリティキーを使用するには、ブラウザーがJavaScriptを有効に設定しており、WebAuthnに対応している必要があります。これらの条件が満たされない場合、Auth0はセキュリティキーでの登録や認証を提供しません。Auth0は別の要素か復旧コード(他に要素が登録されていない場合)を用いてチャレンジします。 主要なブラウザーやオペレーティングシステムの最新バージョンでは、セキュリティキーを使ったWebAuthnに対応しています。詳細については、webauthn.meの「ブラウザーサポート」セクションをお読みください。

制限事項

  • MFA APIの使用では、WebAuthnにある登録内容をリスト表示して削除することはできますが、登録はできません。

もっと詳しく