メインコンテンツへスキップ
WebAuthn の概要と、Auth0 が Security Keys と Device Biometrics の両方で WebAuthn をどのように実装しているかについては、FIDO Authentication with WebAuthn を参照してください。

利用可否は Auth0 プランによって異なります

この機能が利用可能かどうかは、ログイン実装の内容と Auth0 プランまたはカスタム契約によって異なります。詳しくは、Pricing を参照してください。
カスタムドメインを設定する必要がある場合は、本番環境で WebAuthn をロールアウトする前に設定してください。カスタムドメインを設定または変更すると、以前に登録したユーザーは認証できなくなります。Relying Party 設定を使用して、ユーザーの認証に使用するドメインを指定できます。

ダッシュボードを使用する

Dashboard > Security > Multifactor Auth に移動して、WebAuthn with Device Biometrics を有効にします。これは唯一の認証要素としては有効にできないため、追加の認証要素も有効にする必要があります。

Relying Party を設定する

WebAuthn は、認証情報をブラウザーのオリジンに紐付けることで、フィッシングを不可能にします。ユーザーは、登録していないサイトで WebAuthn を使用することもできません。 認証情報をオリジンに紐付けるということは、を設定した場合や変更した場合、変更前に登録したユーザーは認証できなくなることを意味します。 WebAuthn では、ユーザーの認証に使用するドメインを指定できる Relying Party ID 属性 が定義されています。これは、ブラウザーのオリジンにおける登録可能な任意のドメインサフィックスに設定できます。たとえば、カスタムドメインが login.example.com の場合、 ID を example.com に設定できます。これにより、ユーザーは自分の WebAuthn 認証情報を使って、任意の example.com ドメインで認証できます。 Auth0 では、カスタムドメインが設定されている場合にのみ Relying Party ID を指定できます。カスタムドメインを変更した場合は、Relying Party ID も更新する必要があります。

デバイス認識

Device Biometrics で WebAuthn を有効にすると、Auth0 はエンドユーザーの WebAuthn 対応デバイスをすべて段階的に登録しようとします。JavaScript が無効なブラウザーや、WebAuthn のプラットフォーム認証器をサポートしていないブラウザーでは、Device Biometrics で登録または認証するオプションは表示されません。 特定のデバイスが登録済みかどうかを、ユーザーに WebAuthn を要求せずに確実に判断する方法はないため、Auth0 はユーザーエージェントに判断を委ねます。この動作はオペレーティングシステムによって異なります。
最も一般的なケース、つまりユーザーが常に同じブラウザーを使用し、モバイル端末 1 台とノート PC またはデスクトップ PC 1 台を使っている場合は、以下で説明する動作上の違いがユーザー体験に影響することはありません。

Windows および iOS 14.5+

Windows および iOS 14.5+ では、WebAuthn のプラットフォーム認証器は オペレーティング システム レベル で登録されます。ユーザーは 1 つのブラウザーで登録し、どのブラウザーからでもログインできます。Auth0 がユーザーに登録済みのデバイスがあることを検出すると、Face ID / Touch ID / Windows Hello を使用して認証するオプションが表示されます。同じデバイスで登録していれば認証できます。そうでない場合は認証に失敗するため、別の認証方法を使用する必要があります。

macOS

Mac では、WebAuthn のプラットフォーム認証器は ブラウザ レベルで登録されます。ユーザーは、使用する各ブラウザごとに WebAuthn への登録を求められます。Auth0 がユーザーの Mac 上の Chrome からの登録を検出すると、そのユーザーが Mac 上の Chrome からログインした際に、Touch ID で認証するオプションが表示されます。同じ Mac で登録していれば認証できます。そうでない場合は認証に失敗するため、別の認証方法を使用する必要があります。同じ Mac の Safari から登録しようとすると、まず別の認証方法で を完了するよう求められ、その後 Touch ID への 登録を求める画面が表示 されます。

Android

Android では、WebAuthn のプラットフォーム認証器をサポートしているのは Chrome のみ です。Auth0 がユーザーに登録済みの Android デバイスがあることを検出すると、Android の指紋認証/顔認証を使って認証するオプションが表示されます。登録に使用したのと同じ Android デバイスであれば認証できます。そうでない場合は認証に失敗するため、別の認証方法を使用する必要があります。

デバイスのサポート

Device Biometrics を使用する前に、ユーザーは別の MFA 要素を有効化しておく必要があります。 デバイス生体認証キーを使用するには、ブラウザーで JavaScript が有効になっており、プラットフォーム認証器 をサポートしている必要があります。これらの条件が満たされていない場合、Auth0 はそのデバイスを使用した登録または認証のオプションを提示しません。Auth0 は別の認証要素でユーザーに認証を求めます。 一般的なブラウザーやオペレーティングシステムの最新バージョンでは、Security Keys を使用した WebAuthn がサポートされています。詳細については、webauthn.me のブラウザーサポート セクションを確認してください。

制限事項

  • Progressive Enrollment プロンプト以外では、WebAuthn のデバイス生体認証で登録することはできません。
  • MFA API を使用すると、WebAuthn の登録を一覧表示して削除できますが、登録することはできません。
  • ユーザーが WebAuthn with Device Biometrics を使用して登録できるデバイスは、種類ごとに 1 台のみです (スマートフォン、タブレット、ノート PC/デスクトップ PC をそれぞれ 1 台ずつ) 。同じ種類の別のデバイスを登録する場合は、先に最初のデバイスの登録を解除する必要があります。

Webauthn.me

Auth0 は webauthn.me を運営しており、WebAuthn に関する詳細情報や、WebAuthn をサポートしているブラウザーの最新一覧を確認できます。

詳細