メインコンテンツへスキップ
パスキーは、FIDO2 (WebAuthn および CTAP) 標準に基づく、安全なパスワードレス認証方式です。従来の ID/パスワード認証と比べて、次のような利点があります。
  • パスキーを使用すると、ユーザーは生体認証やデバイスに紐付いた認証情報 (指紋、PIN、パターンなど) で認証できるため、ログインがより迅速になり、パスワードを覚えておく必要もありません。
  • パスキーは認証情報をデバイス間で同期できるため、ユーザーは新しいデバイスごとに再登録する必要がありません。
  • パスキーはフィッシングに強いという特長があります。公開鍵暗号方式を使用するため共有シークレットが存在せず、さらにユーザーのデバイスがアカウントごとに一意の鍵を生成するためです。
  • パスキーは、より確実な復旧を可能にします。保存された認証情報は、元のデバイスを紛失しても引き続き利用できるためです。
  • パスキーは認証情報を特定のドメインに紐付けるため、ユーザーは 1 つのパスキーでドメイン全体にわたって認証できます。
パスキーの詳細については、FIDO Alliance のパスキー概要を参照してください。

Auth0 のパスキーについて

Auth0 では、アプリケーションの種類に応じて、データベース接続の認証方法としてパスキーを次の 3 つの方法で実装できます。 Auth0 では、ユーザー 1 人あたり最大 20 個のパスキーを登録できます。 データベース接続でパスキーを有効にすると、ユーザーはサインアップ時とログイン時にパスキーを利用できるようになります。
1

サインアップ UI でユーザーにメールアドレスの入力を求めます。

ユーザーはメールアドレスを入力し、Continue を選択します。
2

サインアップ UI でユーザーにパスキーの使用を促します。

ユーザーは Create a passkey を選択します。
3

ユーザーの認証情報マネージャーで、パスキーの作成を求められます。

ユーザーが Continue を選択すると、デバイスの認証情報で認証するよう求められます。
ユーザーが Try another way を選択すると、パスキーを作成するデバイスで QR コードをスキャンするよう求められます。
1

ログイン UI でユーザーにメールアドレスやパスキーの入力を求めます。

データベース接続のパスキーポリシーでは、ログイン UI でオートフィルを許可するか、パスキーボタンを表示するか、またはその両方を有効にするかを選択できます。
ユーザーがメールアドレスを入力すると、オートフィルによって、パスワードなどの他の認証情報とともに保存済みのパスキーが候補として表示されます。ユーザーが Continue with a passkey ボタンを選択すると、認証情報マネージャーで使用するパスキーを選ぶよう求められます。
2

ユーザーの認証情報マネージャーで、デバイスの認証情報による認証を求められます。

パスキーは、ユーザーの既存の認証情報を置き換えたり無効化したりするものではありません。ユーザーがパスキーを作成すると、認証方法の 1 つとしてアカウントに追加されますが、既存のメールアドレス/ユーザー名とパスワードによる認証情報は引き続き有効です。

MFA が有効な場合のパスキー

が有効になっている場合、設定とリスク評価に応じて、パスキーで認証した後に追加の MFA を求められることがあります。 デフォルトでは、認証方法がパスワードかパスキーかにかかわらず、MFA の完了が必要です。パスキーは高いセキュリティを提供するため、手間を減らす目的で、パスキーで認証したユーザーについては MFA を省略できます。これは post-login Action を使用して実現できます。 詳しくは、パスキーで手間を減らす多要素認証 を参照してください。

複数のカスタムドメイン (MCD) でのパスキー

テナントで複数のカスタムドメインを有効にしている場合、Auth0 は各ドメインとそのドメイン用のパスキーを 1 対 1 で対応付けます。パスキー対応のデータベース接続を使用するユーザーは、作成したドメインに紐付いたパスキーを使ってサインアップおよびログインできます。ユーザーがパスキーを登録できるドメインは 1 つだけです (テナント上の複数のカスタムドメインのうち、最初に登録したドメイン) 。 パスワードレスログインでは、選択したカスタムドメインが、パスワードレスログインフローのマジックリンクに反映されている必要があります。

パスキーの Relying Party ID

relying party identifier (RP ID) は、WebAuthn がパスキーなどの認証情報に関連付けるドメインです。RP ID は、認証に使用できるリクエストオリジンを定義します。
RP ID が正しく機能するには、アプリケーションのドメインをアプリケーション設定Allowed Origins (CORS) リストに追加する必要があります。
RP ID をオリジンのサフィックスとして定義すると、ユーザーは 1 つのパスキーでサブドメインをまたいで認証できます。たとえば、Web アプリケーションが login.example.com でホストされ、ネイティブアプリケーションが app.example.com で提供されている場合、RP ID を example.com に設定することで、エンドユーザーは 1 つのパスキーで両方のアプリケーション (およびその他の example.com サブドメイン) に認証できます。
環境ルートドメインRP ID
Webhttps://login.example.comexample.com
iOSapp.example.comexample.com
Androidassetlinks.jsonexample.com
Auth0 では、RP ID をルートドメインまたは親ドメインに設定できるため、ユーザーは同じパスキーを使用してモバイルアプリケーションまたは Web アプリケーションで認証できます。複数のカスタムドメインを使用している場合は、各カスタムドメインに対して rp.id を設定することもできます。 RP ID をカスタマイズする方法については、Configure Passkey Policy を参照してください。

詳細