FIDO認証プロバイダの構成
IAMのアイデンティティ・ドメインでFast ID Online (FIDO)認証を構成して、ユーザーがYubiKeyなどの外部認証デバイス、またはWindows HelloやMac Touch IDなどの内部デバイスで認証できるようにします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- ドメインの詳細ページで、「セキュリティ」をクリックします。
- 「セキュリティ」ページで、「2要素認証」をクリックします。
- 「FIDO認証プロバイダ」タブをクリックします。
-
FIDO認証プロバイダ設定を構成します:
- タイムアウト(ミリ秒):ユーザーが操作する必要がある時間の長さ。ユーザーがこの期間内に動作しない場合、認証は失敗します。デフォルトは60,000ミリ秒(6秒)です。
- アテステーション:これは、デバイスに属し、製造時に割り当てられるキー・ペアです。これはデバイスモデルに固有であり、特定のモデルを証明するためにデバイスが登録されるときに使用されます。
- 「なし」は、リライイング・パーティがオーセンティケータ・アテステーションに関心がないことを示します。
- 「間接」は、リライイング・パーティが匿名化されたアテステーション・データを許可することを示します。
- 「直接」は、リライイング・パーティがオーセンティケータからアテステーション・データを受信することを示します。
- 認証プロバイダ選択アタッチメント:ユーザー登録先の認証プロバイダ・タイプを制御します。
- プラットフォーム: Windows HelloおよびMac Touch IDを使用する場合に選択します。
- クロス・プラットフォーム: YubiKeyなどのクロス・プラットフォーム・認証プロバイダを使用することを選択します。
- 両方:この値がデフォルトです。
- オーセンティケータ選択常駐キー:常駐キーのサポートを有効にするかどうかを指定します。
「なし」(デフォルト)は、秘密キーが暗号化され、サーバーに格納されることを示します。
- Authenticator selection user validation:登録時のユーザー検証に関するリライイング・パーティの要件。「優先」がデフォルトです。
- パブリック・キー・タイプ:登録時にパブリック・キー・ペアを生成するために使用される暗号化アルゴリズム。IAMでは、ES256 (デフォルト)、RS1およびRS256のみが保証されます。
- 資格証明の除外:単一の認証プロバイダでの同じアカウントに対する複数の資格証明の作成を制限するために、リライイング・パーティによって使用されます。デフォルトでは選択されていません。
- 「変更の保存」をクリックします。
- 要求されたら、変更を確認します。