FIDOオーセンティケータの構成
ユーザーがYubiKeyなどの外部認証デバイス、またはWindows HelloやMac Touch IDなどの内部デバイスで認証できるように、IAMのアイデンティティ・ドメインでFast ID Online (FIDO)認証を構成します。
- ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- ドメインの詳細ページで、「認証」を選択します。
- 「認証」ページの「Fast ID Online (FIDO)パスキー・オーセンティケータ」行で、「編集」を選択します。
-
FIDO認証プロバイダ設定を構成します。
- タイムアウト(ミリ秒):ユーザーが操作する必要がある時間の長さ。この期間内にユーザーが操作を行わない場合、認証は失敗します。デフォルトは60,000ミリ秒(6秒)です。
-
アテステーション:これは、デバイスに属し、製造時に割り当てられるキー・ペアです。これはデバイス・モデルに固有であり、特定のモデルを証明するためにデバイスが登録されるときに使用されます。
- なし:リライイング・パーティがオーセンティケータ・アテステーションに関心がないことを示します。
- 間接:リライイング・パーティが匿名化されたアテステーション・データを許可することを示します。
- 直接:リライイング・パーティがオーセンティケータからアテステーション・データを受信することを示します。
-
オーセンティケータ選択アタッチメント:ユーザーの登録先のオーセンティケータ・タイプを制御します。
- プラットフォーム: Windows HelloおよびMac Touch IDを使用する場合に選択します。
- クロス・プラットフォーム: YubiKeyなどのクロス・プラットフォーム・オーセンティケータを使用する場合に選択します。
- 両方:この値がデフォルトです。
-
オーセンティケータ選択常駐キー:常駐キーのサポートを有効にするかどうかと、その方法を選択します。
- なし: (デフォルト)秘密キーが暗号化され、サーバーに格納されることを示します。
- 必須:リライイング・パーティにクライアント側の検出可能な資格証明が必要であり、クライアント側の検出可能な資格証明を作成できない場合、エラーを受信する準備が整っていることを示します。
- 優先:リライイング・パーティがクライアント側の検出可能な資格証明の作成を優先しますが、サーバー側の資格証明を受け入れます。
- 非推奨:リライイング・パーティがサーバー側の資格証明の作成を希望するが、クライアント側の検出可能な資格証明を受け入れるかどうかを示します。
-
オーセンティケータ選択ユーザー検証:登録時のユーザー検証に関するリライイング・パーティの要件。
- 必須:リライイング・パーティが操作のユーザー検証を必要とするか、操作が失敗することを示します。
- 優先: (デフォルト)は、可能であれば、リライイング・パーティが操作のユーザー検証を優先することを示します。
- 非推奨:リライイング・パーティが操作中にユーザー検証を使用しないことを示します。
- 公開キー・タイプ:登録時に公開キー・ペアを生成するために使用される暗号化アルゴリズム。IAMでは、ES256 (デフォルト)、RS1およびRS256のみが保証されます。
- 資格証明の除外: (デフォルトでは無効)。単一のオーセンティケータでの同じアカウントに対する複数の資格証明の作成を制限するために、リライグ・パーティによって使用。
- 「Save changes」を選択します。
- プロンプトが表示されたら、変更を確認します。