FIDO認証プロバイダの構成
IAMのアイデンティティ・ドメインでFast ID Online (FIDO)認証を構成して、ユーザーがYubiKeyなどの外部認証デバイス、またはWindows HelloやMac Touch IDなどの内部デバイスで認証できるようにします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- ドメインの詳細ページで、「セキュリティ」をクリックします。
- 「セキュリティ」ページで、「2要素認証」をクリックします。
- 「FIDO認証プロバイダ」タブをクリックします。
-
FIDO認証プロバイダ設定を構成します:
- タイムアウト(ミリ秒):ユーザーが操作する必要がある時間の長さ。ユーザーがこの期間内に動作しない場合、認証は失敗します。デフォルトは60,000ミリ秒(6秒)です。
- アテステーション:これは、デバイスに属し、製造時に割り当てられるキー・ペアです。これはデバイスモデルに固有であり、特定のモデルを証明するためにデバイスが登録されるときに使用されます。
- なし:リライイング・パーティがオーセンティケータ・アテステーションに関心がないことを示します。
- 間接:リライイング・パーティが匿名化されたアテステーション・データを許可することを示します。
- 直接:リライイング・パーティがオーセンティケータからアテステーション・データを受信することを示します。
- 認証プロバイダ選択アタッチメント:ユーザー登録先の認証プロバイダ・タイプを制御します。
- プラットフォーム: Windows HelloおよびMac Touch IDを使用する場合に選択します。
- クロス・プラットフォーム: YubiKeyなどのクロス・プラットフォーム・認証プロバイダを使用する場合に選択します。
- 両方:この値がデフォルトです。
- オーセンティケータ選択常駐キー:常駐キーのサポートが有効かどうかと、その方法を選択します。
- なし: (デフォルト)秘密キーが暗号化され、サーバーに格納されることを示します。
- 必須:リライイング・パーティがクライアント側の検出可能な資格証明を必要とし、クライアント側の検出可能な資格証明を作成できない場合はエラーを受け取る準備が整っていることを示します。
- 優先:リライイング・パーティは、クライアント側の検出可能な資格証明の作成を好むが、サーバー側の資格証明を受け入れることを示します。
- 非推奨:リライイング・パーティはサーバー側の資格証明の作成を好み、クライアント側の検出可能な資格証明を受け入れることを示します。
- Authenticator selection user validation:登録時のユーザー検証に関するリライイング・パーティの要件。
- 必須:リライイング・パーティが操作に対してユーザー検証を必要とすること、または操作が失敗することを示します。
- 優先: (デフォルト)は、リライイング・パーティが可能な場合は操作のユーザー検証を優先することを示します。
- 「推奨外」:リライイング・パーティが操作中にユーザー検証を使用しないことを示します。
- 公開キー・タイプ:登録時に公開キー・ペアを生成するために使用される暗号化アルゴリズム。IAMでは、ES256 (デフォルト)、RS1およびRS256のみが保証されます。
- 資格証明の除外: (デフォルトでは無効)。単一の認証プロバイダで同じアカウントに対する複数の資格証明の作成を制限するために、リライイング・パーティによって使用されます。
- 「変更の保存」をクリックします。
- 要求されたら、変更を確認します。