WebAuthnにおけるauthenticatorSelectionとは?
Vincent
Created: July 11, 2025
Updated: July 12, 2025
See the original glossary version in English here.
authenticatorSelectionとは?#
WebAuthnにおいて、authenticatorSelectionはPublicKeyCredentialCreationOptionsオブジェクトの重要な部分です。この機能により、Relying Party (RP)はcreate()操作中に適切な認証器を選択するための基準を指定できます。その重要性は以下の点にあります。
- 認証器の要件定義: 登録プロセスに参加できる認証器の種類を指定します。
- 認証器のアタッチメント: 認証器がプラットフォーム(例:Face ID、Touch ID、Windows Hello)か、クロスプラットフォーム(ローミング)認証器かを決定します。
- ユーザー検証: ユーザー検証の要件(例:「preferred」、「required」、「discouraged」)を設定します。
例:#
"authenticatorSelection": { "authenticatorAttachment": "platform", "residentKey": "required", "requireResidentKey": false, "userVerification": "required", }
authenticatorSelectionで設定可能な値や構成の詳細については、このまま読み進めてください。
主なポイント#
- authenticatorSelectionは、WebAuthnで認証器を選択するための要件を指定します。
- これには、認証器のアタッチメント方式やユーザー検証の要件が含まれます。
- 認証プロセスを精密に制御できるため、セキュリティが向上します。
WebAuthnのauthenticatorSelectionは、認証プロセスが特定のセキュリティ要件やユーザー体験の好みに合致するようにするために不可欠です。これにより、Relying Partyはセキュリティニーズに応じて登録プロセスを柔軟に調整できます。
WebAuthn仕様書で規定されている、設定可能な値の概要は以下の通りです。
authenticatorAttachment#
設定可能な値:
- Platform: 認証器はクライアントのプラットフォームに組み込まれており、取り外しはできません。
- Cross-platform: 認証器はクライアントのプラットフォームに縛られず、複数のデバイスで使用できます。
residentKey#
この値は、Relying Partyが発見可能なクレデンシャルを作成したいかどうかを指定します。設定可能な値は以下の通りです。
- required: 認証器はレジデントキーを作成する必要があり、それが不可能な場合は操作が失敗します。
- preferred: 認証器はレジデントキーの作成を試み、それが不可能な場合は非レジデントキーを作成します。
- discouraged: 認証器は非レジデントキーを作成する必要があり、それが不可能な場合は操作が失敗します。
requireResidentKey#
この値はWebAuthnレベル1との後方互換性のためにのみ使用され、residentKeyが「required」に設定されている場合に「true」に設定されます。
userVerification#
この値は、操作にユーザー検証が必要かどうかを示します。設定可能な値は以下の通りです。
- required: 操作ではユーザーを検証する必要があります。
- preferred: 操作ではユーザーを検証することが推奨されますが、検証なしでも続行できます(標準値)。
- discouraged: 操作ではユーザーを検証すべきではありません。
警告: 「preferred」に設定すると、認証器は認証プロセスでユーザー検証をスキップする可能性があります。この問題に関する詳細はこちらの記事をお読みください。
authenticatorSelectionのよくある質問#
WebAuthnにおいてauthenticatorSelectionはどのような機能を果たしますか?#
WebAuthnのauthenticatorSelectionにより、Relying Partyは認証プロセスに適した認証器の種類を指定できます。これには、ユーザー検証の要件や認証器のタイプが含まれます。
authenticatorSelectionは認証におけるユーザー体験にどのように影響しますか?#
使用する認証器のタイプ(プラットフォームまたはローミング)を決定し、ユーザー検証のレベルを設定することで、ユーザー体験に影響を与えます。これにより、認証プロセスの利便性とセキュリティが左右されます。
authenticatorSelectionのauthenticatorAttachment設定にはどのような意味合いがありますか?#
authenticatorSelectionのauthenticatorAttachment設定は、固定されたプラットフォーム認証器と取り外し可能なクロスプラットフォーム認証器のどちらが必要かを指定し、認証プロセスの物理的および機能的な特性に影響を与えます。
Share this article
Table of Contents
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
