FIDOオーセンティケータの構成
ユーザーがYubiKeyなどの外部認証デバイス、またはWindows HelloやMac Touch IDなどの内部デバイスで認証できるように、IAMのアイデンティティ・ドメインで高速IDオンライン(FIDO)認証を構成します。
- ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- ドメインの詳細ページで、「認証」を選択します。
- 「認証」ページの「高速IDオンライン(FIDO)パスキー認証プロバイダ」行で、「編集」を選択します。
-
FIDOオーセンティータ設定を構成します:
- タイムアウト(ミリ秒):ユーザーが操作する必要がある時間の長さ。この期間内にユーザーが動作しない場合、認証は失敗します。デフォルトは60,000ミリ秒(6秒)です。
-
アテステーション:これは、デバイスに属し、製造時に割り当てられるキー・ペアです。これは、デバイス・モデルに固有であり、デバイスが特定のモデルを証明するために登録されている場合に使用されます。
- なし:リライイング・パーティがオーセンティケータ・アテステーションに関心がないことを示します。
- 間接:リライイング・パーティが匿名化されたアテステーション・データを許可することを示します。
- 直接:リライイング・パーティがオーセンティケータからアテステーション・データを受信することを示します。
-
オーセンティケータ選択アタッチメント:ユーザーが登録するオーセンティケータ・タイプを制御します。
- プラットフォーム: Windows HelloおよびMac Touch IDを使用する場合に選択します。
- クロス・プラットフォーム: YubiKeyなどのクロス・プラットフォーム・オーセンティケータを使用する場合に選択します。
- 両方:この値がデフォルトです。
-
オーセンティケータ選択常駐キー:常駐キーのサポートを有効にするかどうかとその方法を選択します。
- なし: (デフォルト)は、秘密キーが暗号化され、サーバーに格納されます。
- 必須:リライイング・パーティにクライアント側の検出可能な資格証明が必要であり、クライアント側の検出可能な資格証明を作成できない場合にエラーを受け取る準備が整っていることを示します。
- 「優先」:リライイング・パーティがクライアント側の検出可能な資格証明の作成を優先しますが、サーバー側の資格証明を受け入れることを示しています。
- 非推奨:リライイング・パーティがサーバー側の資格証明の作成を希望するが、クライアント側の検出可能な資格証明を受け入れることを示しています。
-
オーセンティケータ選択ユーザー検証:登録時のユーザー検証に関するリライイング・パーティの要件。
- 必須:リライイング・パーティが操作のユーザー検証を必要とするか、操作が失敗することを示します。
- 優先: (デフォルト)は、リライイング・パーティが可能な場合は操作のユーザー検証を優先することを示します。
- 「非推奨」:リライイング・パーティが操作中にユーザー検証を使用しないことを示します。
- 公開キー・タイプ:登録時に公開キー・ペアを生成するために使用される暗号化アルゴリズム。IAMでは、ES256 (デフォルト)およびRS1およびRS256のみが保証されます。
- 資格証明の除外: (デフォルトでは無効)。単一のオーセンティケータでの同じアカウントに対する複数の資格証明の作成を制限するために、リライグ・パーティによって使用します。
- 「Save changes」を選択します。
- プロンプトが表示されたら、変更を確認します。