Fast IDentity Online 2
対応可能:Liferay DXP/Portal 7.4以降
Fast IDentity Online 2またはFIDO2標準では、バイオメトリクス(指紋リーダーなど)、モバイル機器、またはパスワードレス認証用のその他のセキュリティキーを使用できます。 管理者はインスタンスに対してFIDO2を有効にするだけでよく、ユーザーはFIDO2準拠のデバイスを登録して使用できます。
FIDO2の有効化
-
コントロール パネル → インスタンス設定 → セキュリティ → 多要素認証に移動します。 FIDO2 を設定する前に、 多要素認証 が有効になっていることを確認してください。
-
左側のナビゲーションにある[Fast IDentity Online 2 Configuration]をクリックします。
-
[Enabled]チェックボックスをクリックして、FIDO2を有効にします。
これで準備は完了です。 デフォルト設定のいずれかを変更する場合は、次のことができます。
順序: FIDO2 多要素チェッカーの優先順位を設定します。 数値が大きいほど、重要度が高くなります。 デフォルトの重要度は、FIDO2が最高の重要度チェッカーになるように設定されています(有効にした場合)。
Relying Party Name:Webサイトまたはインストールの任意の名前。
Allowed Credentials Per User:各ユーザーは、この数のFIDO2デバイスを持つことができます。
証明書利用者 ID: WebAuthn 証明書利用者識別子。 通常は、これをWebサイトのドメイン名に設定します。
Origins: オーセンティケーターの応答がこの元のURLと比較されます。これは、インストール先を指している必要があります。 セキュリティ上の理由から、接続の暗号化には常にhttpsを使用する必要があります。
Allow Origin Port:元のマッチングルールに任意のポート番号を含めるには、このボックスをオンにします。
Allow Origin Subdomain:元のマッチングルールに任意の元のサブドメインを含めるには、このボックスをオンにします。
FIDO2オーセンティケーターの登録
FIDO2を有効にすると、ユーザーはアカウント設定にオーセンティケーターを追加できます。
-
プロフィール写真をクリックします。
-
アカウント設定をクリックします。
-
[多要素認証]という新しいタブが上部に表示されます。 そのタブをクリックします。
-
サイトの閲覧に使用しているデバイスでFIDO2準拠のデバイスが使用可能であることを確認してください。 たとえば、指紋リーダー付きのラップトップの場合は、それが有効になっていることを確認してください。 YubiKeyなどの USB デバイスの場合は、デバイスに接続されていることを確認してください。
-
オーセンティケーターを登録するには、Register a FIDO2 Authenticatorというラベルの付いた大きな青いボタンをクリックします。
登録すると、デバイスがアカウント設定に表示されます。
FIDO2経由でログイン
デバイスがプロフィールに表示されたので、それを使用してログインできます。 パスワードを入力すると、サインインポートレットに、登録済みのFIDO2オーセンティケーターを使用してIDを確認するためのボタンが表示されます。
![[確認]ボタンをクリックして、オーセンティケーターを使用してIDを確認します。](https://resources.learn.liferay.com/images/dxp/latest/en/security-and-administration/security/multi-factor-authentication/fast-identity-online-2/images/04.png)
デバイスをお持ちでない場合は、メールワンタイムパスワードに戻すことができます。 [確認]をクリックして、デバイスを使って認証を行います。
これで、FIDO2準拠のデバイスを使用して認証されました。