Documentation

Fast IDentity Online 2

対応可能:Liferay DXP 7.4以降

Fast IDentity Online 2またはFIDO2標準では、バイオメトリクス(指紋リーダーなど)、モバイル機器、またはパスワードレス認証用のその他のセキュリティキーを使用できます。 管理者はインスタンスに対してFIDO2を有効にするだけでよく、ユーザーはFIDO2準拠のデバイスを登録して使用できます。

FIDO2の有効化

  1. コントロールパネル] → [Instance Settings] → [セキュリティ] → [多要素認証] に移動します。 FIDO2を構成する前に、多要素認証が有効になっていることを確認してください。

  2. 左側のナビゲーションにある [Fast IDentity Online 2 Configuration] をクリックします。

  3. Enabled] チェックボックスをクリックして、FIDO2を有効にします。

変更できるデフォルト設定がいくつかあります。

これで準備は完了です。 デフォルト設定のいずれかを変更する場合は、次のことができます。

Order: FIDO2多要素チェッカーの重要度を設定します。 数値が大きいほど、重要度が高くなります。 デフォルトの重要度は、FIDO2が最高の重要度チェッカーになるように設定されています(有効にした場合)。

Relying Party Name: Webサイトまたはインストールの任意の名前。

Allowed Credentials Per User: 各ユーザーは、この数のFIDO2デバイスを持つことができます。

Relying Party ID: WebAuthn証明書利用者識別子 。 通常は、これをWebサイトのドメイン名に設定します。

Origins: オーセンティケーターの応答がこの元のURLと比較されます。これは、インストール先を指している必要があります。 セキュリティ上の理由から、接続の暗号化には常にhttpsを使用する必要があります。

Allow Origin Port: 元のマッチングルールに任意のポート番号を含めるには、このボックスをオンにします。

Allow Origin Subdomain: 元のマッチングルールに任意の元のサブドメインを含めるには、このボックスをオンにします。

FIDO2オーセンティケーターの登録

FIDO2を有効にすると、ユーザーはアカウント設定にオーセンティケーターを追加できます。

  1. プロフィール写真をクリックします。

  2. アカウント設定] をクリックします。

  3. 多要素認証] という新しいタブが上部に表示されます。 そのタブをクリックします。

  4. サイトの閲覧に使用しているデバイスでFIDO2準拠のデバイスが使用可能であることを確認してください。 たとえば、指紋リーダー付きのラップトップの場合は、それが有効になっていることを確認してください。 YubiKey などのUSBデバイスの場合は、デバイスに接続されていることを確認してください。

  5. オーセンティケーターを登録するには、 Register a FIDO2 Authenticator というラベルの付いた大きな青いボタンをクリックします。

FIDO2オーセンティケーターはボタン1つで登録できます。

登録すると、デバイスがアカウント設定に表示されます。

アカウント設定には、登録したオーセンティケーターが一覧表示されます。

FIDO2経由でログイン

デバイスがプロフィールに表示されたので、それを使用してログインできます。 パスワードを入力すると、サインインポートレットに、登録済みのFIDO2オーセンティケーターを使用してIDを確認するためのボタンが表示されます。

[確認]ボタンをクリックして、オーセンティケーターを使用してIDを確認します。

デバイスをお持ちでない場合は、メールワンタイムパスワードに戻すことができます。 [確認] をクリックして、デバイスを使って認証を行います。

これで、FIDO2準拠のデバイスを使用して認証されました。