FIDO2 認証は、Workspace ONE Access サービスで有効にできる強力なパスワードなし認証の方法を提供します。FIDO2 を使用すると、ユーザーは USB セキュリティ キーなどの外部認証子、または TouchID や Windows Hello などのプラットフォーム認証子を使用して認証できます。
FIDO2 が有効の場合、ユーザーは自分の認証子を自己登録できます。Workspace ONE Access コンソールで、ユーザーに代わって認証子を管理できます。
FIDO2 ユーザー登録
FIDO2 のパスワードなし認証を使用するには、ユーザーは自分の認証子を登録する必要があります。登録すると、認証子はプライベート パスキーとパブリック パスキーを作成します。プライベート キーはデバイスまたは外部のハードウェアまたはソフトウェアに保存され、パブリック キーは Workspace ONE Access サービスに登録されます。
FIDO2 認証を構成するときに、Workspace ONE Access コンソールで FIDO2 登録を有効にします。ユーザーが Workspace ONE Access サービスを介して認証する前に、FIDO2 認証子の登録を要求するアクセス ポリシー登録ルールを作成します。ユーザーが初めてログインして FIDO2 認証を必要とするアプリケーションにアクセスするとき、FIDO2 認証子を登録するように求められます。
- ユーザーは Hub アプリケーション カタログに移動し、FIDO2 認証を開く必要がある Web アプリケーションを選択します。
- ユーザーの FIDO2 認証子が登録されていない場合、ユーザーはログイン画面で [FIDO2 認証子の登録] をクリックします。
注: ユーザーは Web ブラウザを使用して FIDO2 認証子を登録する必要があります。
- ユーザーは、ユーザー名やパスワードなど、構成済みの Workspace ONE Access 認証方法で認証するようにプロモートされます。
- ユーザーが認証されると、ブラウザ認証子の登録画面が表示され、ユーザーは登録を完了します。
ユーザーが登録されると、ユーザーはフィンガープリント センサー、顔認識、または FIDO2 対応の USB セキュリティ キーなどの認証子を使用してユーザーのプライベート キーのロックを解除し、ユーザーの資格情報を確認してユーザーを認証します。その他の認証は不要です。
ユーザーは、最大 10 個の認証子を登録できます。
Workspace ONE Access サービスでのユーザーの FIDO2 登録の管理
ユーザーが認証子を登録すると、認証子情報は、Workspace ONE Access コンソールの [アカウント] > [ユーザー] ページのユーザー プロファイルで構成されます。FIDO2 設定を表示するには、ユーザー名を選択し、[2 要素認証] タブを開きます。
認証子の追加や削除など、FIDO2 認証子を管理できます。
ユーザー認証子をブロックできます。ユーザーの認証子がブロックされている場合は、コンソールからブロックを解除する必要があります。ユーザーは認証子のブロックを解除できません。
認証子タイプの名前を変更して、よりわかりやすい名前を付けることもできます。