FIDO2 認証は、Workspace ONE Access サービスで有効にできる強力なパスワードなし認証の方法を提供します。FIDO2 を使用すると、ユーザーは USB セキュリティ キーなどの外部認証子、または TouchID や Windows Hello などのプラットフォーム認証子を使用して認証できます。

注: FIDO2 認証方法は現在デスクトップ ブラウザでの認証のみをサポートしています。

FIDO2 が有効の場合、ユーザーは自分の認証子を自己登録できます。Workspace ONE Access コンソールで、ユーザーに代わって認証子を管理できます。

FIDO2 ユーザー登録

FIDO2 のパスワードなし認証を使用するには、ユーザーは自分の認証子を登録する必要があります。登録されると、認証子がキー ペアを作成します。プライベート キーはデバイスまたは外部のハードウェアまたはソフトウェアに保存され、パブリック キーは Workspace ONE Access サービスに登録されます。

FIDO2 認証を構成するときに、Workspace ONE コンソールで FIDO2 登録を有効にします。ユーザーが Workspace ONE Access を介して認証する前に、FIDO2 認証子の登録を要求するアクセス ポリシー登録ルールを作成します。ユーザーが初めてログインして FIDO2 認証を必要とするアプリケーションにアクセスするとき、FIDO2 認証子を登録するように求められます。

  1. ユーザーはデスクトップのブラウザで Hub カタログに移動し、FIDO2 認証を必要とする Web アプリケーションを選択します。
  2. ユーザーの FIDO2 認証子が登録されていない場合、ユーザーはログイン画面で [FIDO2 認証子の登録] をクリックします。
  3. ユーザーは、ユーザー名やパスワードなど、構成済みの Workspace ONE Access 認証方法で認証するようにプロモートされます。
  4. ユーザーが認証されると、ブラウザ認証子の登録画面が表示され、ユーザーは登録を完了します。

ユーザーは、最大 10 個の認証子を登録できます。

ユーザーが登録されると、ユーザーはフィンガープリント センサー、顔認識、または FIDO2 対応の USB セキュリティ キーなどの認証子を使用してユーザーのプライベート キーのロックを解除し、ユーザーの資格情報を確認してユーザーを認証します。その他の認証は不要です。

Workspace ONE Access サービスでのユーザーの FIDO2 登録の管理

ユーザーが認証子を登録すると、認証子情報は、Workspace ONE Access コンソールの [ユーザー] > [ユーザーとグループ] ページのユーザー プロファイルで構成されます。FIDO2 設定を表示するには、[2 要素認証] タブを開きます。

認証子の追加や削除など、FIDO2 認証子を管理できます。

ユーザー認証子をブロックできます。ユーザーの認証子がブロックされている場合は、コンソールからブロックを解除する必要があります。ユーザーは認証子のブロックを解除できません。

認証子タイプの名前を変更して、よりわかりやすい名前を付けることもできます。