> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

# MFAのために秘密鍵でWebAuthnを構成する

> MFAのために秘密鍵を使用してWebAuthnを構成する方法について説明します。

WebAuthn入門と、Auth0がWebAuthnをセキュリティキーと[デバイスの生体認証](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn/configure-webauthn-device-biometrics-for-mfa)の両方で実装する方法については、「[WebAuthnを使ったFIDO認証](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn)」をご覧ください。

<Card title="利用可能性はAuth0プランによって異なる">
  この機能が利用できるかどうかは、使用しているログイン実装とAuth0プラン（または契約）によります。詳細については、「[価格設定](https://auth0.com/pricing)」をお読みください。
</Card>

<Warning>
  カスタムドメインを設定する場合は、WebAuthnを運用環境でロールアウトする**前に** 行ってください。カスタムドメインを設定・変更すると、以前に登録したユーザーが認証できなくなります。

  ユーザーの認証に使用するドメインを指定するには、[［Relying Party（証明書利用者）］](#configure-relying-party)設定を使用します。
</Warning>

<div id="use-the-dashboard">
  ## Dashboardの使用
</div>

1. [［Dashboard］>［Security（セキュリティ）］>［Multi-factor Auth（多要素認証）］](https://manage.auth0.com/#/security/mfa)に移動して、**［WebAuthn with Security Keys（WebAuthnとセキュリティキー）］** を有効にします。
2. ユーザー検証をどのように処理したいかを構成します。一般的に、セキュリティキーを使用したユーザー検証は、ユーザーにPINの入力を要求してWebAuthnのチャレンジを完了します。

   1. Never（行わない）：ユーザーはPINの入力を決して要求されません。これがデフォルトの値で、MFAにセキュリティキーを使用する際には通常、問題なく動作します。ユーザーはすでにパスワードを入力しているため、何らかの確認はすでに終わっていることになります。
   2. If supported（対応できれば）：ユーザーがすでに鍵にPINを設定している場合には、PINの入力が要求されます。
   3. Required（必須）：ユーザーがまだ設定していない場合にはPINの設定を要求し、ユーザーは毎回必ずPINの入力が必要となります。このオプションが最高のセキュリティを提供します。一部のブラウザー（iOSの[Brave](https://brave.com/)など）ではこれが適切に実装されないため、認証に失敗し、Auth0が別のブラウザーを使用するようユーザーに求めます。

ユーザー検証に対応しているのが、FIDO-2準拠のセキュリティキーのみであることに注意してください。FIDO-1のキーはWebAuthnで使用できますが、ユーザー検証を［Required（必須）］に設定すると効果がなくなります。

<div id="configure-relying-party">
  ## 証明書利用者を構成する
</div>

WebAuthnは、資格情報をブラウザーのオリジンとバインドして、フィッシングできないようにします。ユーザーも、登録していないサイトに対してはWebAuthnを使用できません。

資格情報をオリジンとバインドするため、カスタムドメインを構成・変更すると、変更前に登録したユーザーは認証されなくなります。

WebAuthnは、ユーザーの認証に使用されるドメインを指定できる[証明書利用者ID属性](https://www.w3.org/TR/webauthn-2/#relying-party-identifier)を定義します。ブラウザーオリジンの登録可能なドメインサフィックスに設定できます。たとえば、カスタムドメインがaccounts.acme.comなら、証明書利用者IDをacme.comに設定することができます。そうすれば、ユーザーは、WebAuthn資格情報を使用してacme.comのあらゆるドメインでユーザー認証ができます。

Auth0で証明書利用者IDを指定できるのは、カスタムドメインが構成されている場合に限られます。カスタムドメインが変更された場合は、証明書利用者IDを更新しなければなりません。

<div id="device-support">
  ## デバイス対応
</div>

セキュリティキーを使用するには、ブラウザーがJavaScriptを有効に設定しており、WebAuthnに対応している必要があります。これらの条件が満たされない場合、Auth0はセキュリティキーでの登録や認証を提供しません。Auth0は別の要素か復旧コード（他に要素が登録されていない場合）を用いてチャレンジします。

主要なブラウザーやオペレーティングシステムの最新バージョンでは、セキュリティキーを使ったWebAuthnに対応しています。詳細については、[webauthn.meの「ブラウザーサポート」セクション](https://webauthn.me/browser-support)をお読みください。

<div id="limitations">
  ## 制限事項
</div>

* [MFA API](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/multi-factor-authentication-developer-resources/mfa-api)の使用では、WebAuthnにある登録内容をリスト表示して削除することはできますが、登録はできません。

<div id="learn-more">
  ## もっと詳しく
</div>

* [MFA用の生体認証デバイスを使用したWebAuthnの設定](/docs/ja-JP/ja-jp/secure/multi-factor-authentication/fido-authentication-with-webauthn/configure-webauthn-device-biometrics-for-mfa)
