Workspace ONE Access サービスで FIDO2 認証を設定するには、FIDO2 認証を有効にし、FIDO2 設定を構成し、組み込み ID プロバイダで FIDO2 を有効にします。続いて、FIDO2 で認証するようにアクセス ポリシー ルールを構成します。

FIDO2 認証は、Workspace ONE Intelligent Hub アプリケーションおよび Hub Web ポータルを介して Web アプリケーションにアクセスする場合に使用できます。

注: プライマリ認証子としての FIDO2 は、Android デバイスの Google Chrome ブラウザではサポートされていません。

前提条件

[システム要件]

ブラウザ オペレーティング システム 認証器タイプ
Google Chrome 85 以降 MacOS 10.15.7 TouchID

外部 (Yubikey)
Windows 10 Windows Hello

外部 (Yubikey)
Safari 14.02 以降
注: 現在 Apple からの最新の変更により、ユーザーは Safari Web ブラウザから FIDO2 認証器を登録できません。ユーザーは、FIDO2 認証器を初めて登録するときにサポートされている別のブラウザを使用できます。認証器が登録されると、ユーザーは Safari から認証器を使用してログインできるようになります。
MacOS 10.15.7 外部 (Yubikey)
Microsoft Edge Chromium 85 以降 Windows 10 Windows Hello

外部 (Yubikey)
Firefox 81 以降 Windows 10 外部 (Yubikey)

手順

  1. Workspace ONE Access コンソールの [統合] > [認証方法] ページで、[FIDO2 を選択します]
    1. [構成] をクリックし、FIDO2 設定を構成します。
      オプション 説明
      FIDO アダプタを有効にする サービスの組み込み ID プロバイダで FIDO2 認証を有効にします。
      ログイン時に登録を有効にする デフォルトで有効になっています。FIDO2 認証が有効でユーザーが初めてログインしようとすると、ユーザーは FIDO2 認証器を登録するように求められます。

      Workspace ONE Access コンソールの [アカウント ] > [ユーザー] ページでセキュリティ キーを直接設定する場合は、この設定を無効にできます。
      認証の最大試行回数 ユーザーが「アクセスは拒否されました」メッセージを受信する前に認証を試行できる回数。
      認証移転の設定

      認証器から返される認証データには、ユーザーの追跡に使用できる情報が含まれています。このオプションにより、Workspace ONE Access サーバは、認証データが FIDO2 登録イベントにとってどれほど重要であるかを示すことができます。

      • [なし]。この値は、証明書利用者が認証器の認証に関心がないことを示します。[なし] は設定する推奨値です。
      • [間接]。この値は、証明書利用者が検証可能な認証ステートメントを生成する認証移転を優先する一方で、クライアントにそのような認証ステートメントを取得する方法の決定を許可することを示します。
      • [直接]。デフォルトです。この値は、証明書利用者が認証器によって生成された認証ステートメントの受信を望んでいることを示します。
        注: 認証移転の設定が「直接」または「間接」の場合、TouchID 認証器は機能しません。
      ユーザー検証の設定 ユーザー検証の処理方法を設定します。

      [必須] がデフォルト値です。このオプションは、最高のセキュリティを提供します。

      • [非推奨]。この値は、証明書利用者が認証中にユーザー検証の使用を望まないことを示します。
      • [優先]。この値は、証明書利用者が、可能であればユーザー検証を優先し、応答に UV フラグが設定されていない場合でも操作が失敗しないことを示します。
      • [必須]。デフォルトです。この値は、証明書利用者が操作に対するユーザー検証を必要とし、応答に UV フラグが設定されていない場合は操作が失敗することを示します。
      認証器タイプの設定

      管理者がユーザーを登録している場合は、[クロス プラットフォーム] を選択します。ユーザーがデバイスを登録している場合は、[プラットフォーム] を選択します。両方のオプションを使用する場合は、[すべて] を選択します。

      • [プラットフォーム]。デバイスに接続されている認証器。たとえば、Windows Hello を実行しているラップトップなどです。
      • [クロス プラットフォーム]。取り外し可能でクロス プラットフォームの認証器。たとえば、YubiKey などです。これらの認証器は、複数のデバイスで使用できます。
      • [すべて]
      認証のタイムアウト (秒単位) 要求が期限切れになるまでに応答を待機する時間を秒単位で入力します。推奨される時間は 180 秒(3 分)です。
      アクション タイプ (オプション)

      ユーザーの制限を構成し、AAGUID に基づいて特定の FIDO2 セキュリティ キーを[許可]したり、AAGUID に基づいて特定の FIDO セキュリティ キーを[ブロック]したりできます。

      アクション タイプを選択した場合は、管理する [AAGUID の認証器リスト] を構成します。

      [ブロック] は設定する推奨値です。

      AAGUID の認証器リスト

      許可またはブロックするすべてのタイプの認証子の FIDO2 セキュリティ キー AAGUID をリストします。

      各認証器は、登録時に Authenticator Attestation GUID (AAGUID) を提供する必要があります。AAGUID は、認証器のメーカーやモデルなどのタイプを示す 128 ビットの識別子です。

      AAGUID は、ダッシュ (-) で区切られた 5 つの 16 進文字列で構成される文字列( 7a98c250-6808-11cf-b73b-00aa00b677a7 など)として表されます。
    2. [保存] をクリックします。
      Workspace ONE Access 推奨の FIDO2 設定ページ
  2. [統合] > [ID プロバイダ] ページに移動して、構成済みの組み込み ID プロバイダを選択します。
    1. [認証方法] セクションで [FIDO2] を選択します。
    2. [保存] をクリックします。

次のタスク

[ポリシー] で FIDO2 登録ポリシー ルールと FIDO2 認証ポリシー ルールを作成します。Workspace ONE Access での FIDO2 認証ポリシーの作成(クラウドのみ)を参照してください。