メインコンテンツへスキップ
WebAuthn の概要と、Auth0 で Security Keys と Device Biometrics の両方に WebAuthn をどのように実装しているかについては、FIDO Authentication with WebAuthn を参照してください。

利用可否は Auth0 のプランによって異なります

この機能を利用できるかどうかは、ログイン実装の内容と、Auth0 のプランまたはカスタム契約によって異なります。詳細については、Pricing を参照してください。
カスタムドメインを設定する必要がある場合は、WebAuthn を本番環境に展開する前に設定してください。カスタムドメインを設定または変更すると、すでに登録済みのユーザーは認証できなくなります。Relying Party 設定を使用して、ユーザーの認証に使用するドメインを指定できます。

Dashboard を使用する

  1. Dashboard > Security > Multi-factor Auth に移動し、WebAuthn with Security Keys を有効にします。
  2. ユーザー検証をどのように扱うかを設定します。セキュリティキーでは、一般的なユーザー検証として、WebAuthn チャレンジを完了するために PIN の入力を求めるプロンプトが表示されます。
    1. Never: ユーザーに PIN の入力を求めることはありません。これはデフォルト値で、MFA にセキュリティキーを使用する場合は通常これで十分です。ユーザーはすでにパスワードを入力しているため、一定の検証はすでに行われています。
    2. If supported: キーに PIN が設定済みであれば、ユーザーに PIN の入力を求めます。
    3. Required: PIN がまだ設定されていない場合は設定を求められ、以後は毎回入力を求められます。これは最も高いセキュリティを提供するオプションです。一部のブラウザーではこれが正しく実装されていないため (たとえば iOS の Brave) 、認証が失敗し、Auth0 はユーザーに別のブラウザーを使用するよう求めます。
ユーザー検証をサポートしているのは、FIDO-2 準拠のセキュリティキーのみであることに注意してください。FIDO-1 キーも WebAuthn で使用できますが、ユーザー検証を Required に設定した場合は使用できません。

Relying Party を設定する

WebAuthn は、認証情報をブラウザーのオリジンに結び付けることで、フィッシングを不可能にします。ユーザーは、登録していないサイトでは WebAuthn を使用できません。 認証情報をオリジンに結び付けるということは、を設定したり変更したりすると、変更前に登録したユーザーは認証できなくなることを意味します。 WebAuthn では、Relying Party ID 属性が定義されており、ユーザーの認証に使用するドメインを指定できます。これは、ブラウザーのオリジンに含まれる登録可能な任意のドメインサフィックスに設定できます。たとえば、カスタムドメインが login.example.com の場合、 ID を example.com に設定できます。これにより、ユーザーは WebAuthn の認証情報を使用して任意の example.com ドメインで認証できます。 Auth0 では、カスタムドメインが設定されている場合にのみ Relying Party ID を指定できます。カスタムドメインを変更した場合は、Relying Party ID も更新する必要があります。

対応デバイス

セキュリティキーを使用するには、ブラウザーで JavaScript が有効になっており、WebAuthn をサポートしている必要があります。これらの条件を満たしていない場合、Auth0 ではセキュリティキーで登録または認証するオプションは提供されません。Auth0 は、別の認証要素、またはリカバリー code (別の認証要素が登録されていない場合) でチャレンジを行います。 一般的なブラウザーおよびオペレーティングシステムの最新バージョンでは、セキュリティキーを使用した WebAuthn がサポートされています。詳細については、webauthn.me のブラウザーサポート セクションを参照してください。

制限事項

  • MFA API を使用すると、WebAuthn の登録情報を一覧表示して削除できますが、新たに登録することはできません。

詳細情報