WebAuthnにおけるauthenticatorSelectionとは?
WebAuthnのauthenticatorSelectionについて解説します。これは認証器の要件を定義するメソッドで、WebAuthnのセキュリティとユーザー体験を向上させます。
このページは自動翻訳されています。英語の原文は こちら.
authenticatorSelectionとは?#
WebAuthnにおいて、authenticatorSelectionはPublicKeyCredentialCreationOptionsオブジェクトの重要な部分です。この機能により、Relying
Party
(RP)はcreate()操作中に適切な認証器を選択するための基準を指定できます。その重要性は以下の点にあります。
- 認証器の要件定義: 登録プロセスに参加できる認証器の種類を指定します。
- 認証器のアタッチメント: 認証器がプラットフォーム(例:Face ID、Touch ID、Windows Hello)か、クロスプラットフォーム(ローミング)認証器かを決定します。
- ユーザー検証: ユーザー検証の要件(例:「preferred」、「required」、「discouraged」)を設定します。
例:#
"authenticatorSelection": { "authenticatorAttachment": "platform", "residentKey": "required", "requireResidentKey": false, "userVerification": "required", }
authenticatorSelectionで設定可能な値や構成の詳細については、このまま読み進めてください。
主なポイント#
- authenticatorSelectionは、WebAuthnで認証器を選択するための要件を指定します。
- これには、認証器のアタッチメント方式やユーザー検証の要件が含まれます。
- 認証プロセスを精密に制御できるため、セキュリティが向上します。
WebAuthnのauthenticatorSelectionは、認証プロセスが特定のセキュリティ要件やユーザー体験の好みに合致するようにするために不可欠です。これにより、Relying Partyはセキュリティニーズに応じて登録プロセスを柔軟に調整できます。
WebAuthn仕様書で規定されている、設定可能な値の概要は以下の通りです。
authenticatorAttachment#
設定可能な値:
- Platform: 認証器はクライアントのプラットフォームに組み込まれており、取り外しはできません。
- Cross-platform: 認証器はクライアントのプラットフォームに縛られず、複数のデバイスで使用できます。
residentKey#
この値は、Relying Partyが発見可能なクレデンシャルを作成したいかどうかを指定します。設定可能な値は以下の通りです。
- required: 認証器はレジデントキーを作成する必要があり、それが不可能な場合は操作が失敗します。
- preferred: 認証器はレジデントキーの作成を試み、それが不可能な場合は非レジデントキーを作成します。
- discouraged: 認証器は非レジデントキーを作成する必要があり、それが不可能な場合は操作が失敗します。
requireResidentKey#
この値はWebAuthnレベル1との後方互換性のためにのみ使用され、residentKeyが「required」に設定されている場合に「true」に設定されます。
最新ニュースを受け取るためにPasskeys Substackを購読しましょう。
userVerification#
この値は、操作にユーザー検証が必要かどうかを示します。設定可能な値は以下の通りです。
- required: 操作ではユーザーを検証する必要があります。
- preferred: 操作ではユーザーを検証することが推奨されますが、検証なしでも続行できます(標準値)。
- discouraged: 操作ではユーザーを検証すべきではありません。
警告: 「preferred」に設定すると、認証器は認証プロセスでユーザー検証をスキップする可能性があります。この問題に関する詳細はこちらの記事をお読みください。
authenticatorSelectionのよくある質問#
WebAuthnにおいてauthenticatorSelectionはどのような機能を果たしますか?#
WebAuthnのauthenticatorSelectionにより、Relying Partyは認証プロセスに適した認証器の種類を指定できます。これには、ユーザー検証の要件や認証器のタイプが含まれます。
authenticatorSelectionは認証におけるユーザー体験にどのように影響しますか?#
使用する認証器のタイプ(プラットフォームまたはローミング)を決定し、ユーザー検証のレベルを設定することで、ユーザー体験に影響を与えます。これにより、認証プロセスの利便性とセキュリティが左右されます。
Passkeys Debuggerでパスキーフローを試せます。
authenticatorSelectionのauthenticatorAttachment設定にはどのような意味合いがありますか?#
authenticatorSelectionのauthenticatorAttachment設定は、固定されたプラットフォーム認証器と取り外し可能なクロスプラットフォーム認証器のどちらが必要かを指定し、認証プロセスの物理的および機能的な特性に影響を与えます。
Corbadoについて
Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト:Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します(既存のIDPと併用)。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています(passkey有効化率+80%)。 Passkeyエキスパートに相談する →
この記事を共有
目次
関連記事
