Fast IDentity Online 2
対応可能:Liferay DXP/Portal 7.4以降
Fast IDentity Online 2またはFIDO2標準では、バイオメトリクス(指紋リーダーなど)、モバイル機器、またはパスワードレス認証用のその他のセキュリティキーを使用できます。 管理者はインスタンスに対してFIDO2を有効にするだけでよく、ユーザーはFIDO2準拠のデバイスを登録して使用できます。
FIDO2の有効化
-
[コントロールパネル] → [Instance Settings] → [セキュリティ] → [多要素認証] に移動します。 FIDO2を構成する前に、多要素認証が有効になっていることを確認してください。
-
左側のナビゲーションにある [Fast IDentity Online 2 Configuration] をクリックします。
-
[Enabled] チェックボックスをクリックして、FIDO2を有効にします。
これで準備は完了です。 デフォルト設定のいずれかを変更する場合は、次のことができます。
Order: FIDO2多要素チェッカーの重要度を設定します。 数値が大きいほど、重要度が高くなります。 デフォルトの重要度は、FIDO2が最高の重要度チェッカーになるように設定されています(有効にした場合)。
Relying Party Name: Webサイトまたはインストールの任意の名前。
Allowed Credentials Per User: 各ユーザーは、この数のFIDO2デバイスを持つことができます。
Relying Party ID: WebAuthn証明書利用者識別子 。 通常は、これをWebサイトのドメイン名に設定します。
Origins: オーセンティケーターの応答がこの元のURLと比較されます。これは、インストール先を指している必要があります。 セキュリティ上の理由から、接続の暗号化には常にhttpsを使用する必要があります。
Allow Origin Port: 元のマッチングルールに任意のポート番号を含めるには、このボックスをオンにします。
Allow Origin Subdomain: 元のマッチングルールに任意の元のサブドメインを含めるには、このボックスをオンにします。
FIDO2オーセンティケーターの登録
FIDO2を有効にすると、ユーザーはアカウント設定にオーセンティケーターを追加できます。
-
プロフィール写真をクリックします。
-
[アカウント設定] をクリックします。
-
[多要素認証] という新しいタブが上部に表示されます。 そのタブをクリックします。
-
サイトの閲覧に使用しているデバイスでFIDO2準拠のデバイスが使用可能であることを確認してください。 たとえば、指紋リーダー付きのラップトップの場合は、それが有効になっていることを確認してください。 YubiKey などのUSBデバイスの場合は、デバイスに接続されていることを確認してください。
-
オーセンティケーターを登録するには、 Register a FIDO2 Authenticator というラベルの付いた大きな青いボタンをクリックします。
登録すると、デバイスがアカウント設定に表示されます。
FIDO2経由でログイン
デバイスがプロフィールに表示されたので、それを使用してログインできます。 パスワードを入力すると、サインインポートレットに、登録済みのFIDO2オーセンティケーターを使用してIDを確認するためのボタンが表示されます。
![[確認]ボタンをクリックして、オーセンティケーターを使用してIDを確認します。](https://resources.learn.liferay.com/images/dxp/latest/en/installation-and-upgrades/securing-liferay/multi-factor-authentication/fast-identity-online-2/images/04.png)
デバイスをお持ちでない場合は、メールワンタイムパスワードに戻すことができます。 [確認] をクリックして、デバイスを使って認証を行います。
これで、FIDO2準拠のデバイスを使用して認証されました。