FIDOオーセンティケータの構成
IAMのアイデンティティ・ドメインでFast ID Online (FIDO)認証を構成して、ユーザーがYubiKeyなどの外部認証デバイス、またはWindows HelloやMac Touch IDなどの内部デバイスで認証できるようにします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- ドメインの詳細ページで、「セキュリティ」をクリックします。
- 「セキュリティ」ページで、「2要素認証」をクリックします。
- 「FIDO認証プロバイダ」タブをクリックします。
-
FIDO認証プロバイダ設定を構成します:
- タイムアウト(ミリ秒):ユーザーが操作する必要のある時間の長さ。ユーザーがこの期間内に動作しない場合、認証は失敗します。デフォルトは60,000ミリ秒(6秒)です。
- アテステーション:これは、デバイスに属し、製造時に割り当てられるキー・ペアです。これはデバイス・モデルに固有で、特定のモデルを証明するためにデバイスを登録するときに使用されます。
- 「なし」は、リライイング・パーティがオーセンティケータ・アテステーションに関心がないことを示します。
- 「間接」は、リライイング・パーティが匿名化されたアテステーション・データを許可することを示します。
- 直接は、リライイング・パーティがオーセンティケータからアテステーション・データを受信する必要があることを示します。
- 認証者選択アタッチメント:ユーザー登録先の認証者タイプを制御します。
- プラットフォーム: Windows HelloおよびMac Touch IDの使用を選択します。
- クロス・プラットフォーム: YubiKeyなどのクロス・プラットフォーム・認証プロバイダを使用することを選択します。
- Both:この値がデフォルトです。
- Authenticator Selection Resident Key:常駐キーのサポートを有効にするかどうかを指定します。
「なし」(デフォルト)では、秘密キーが暗号化されてサーバーに保存されます。
- 認証者選択ユーザー検証:登録時のユーザー検証に関するリライイング・パーティの要件。「優先」がデフォルトです。
- 公開キー・タイプ:登録時に公開キー・ペアを生成するために使用される暗号化アルゴリズム。IAMでは、ES256 (デフォルト)、RS1およびRS256のみが保証されます。
- 資格証明の除外: 1つの認証プロバイダでの同じアカウントに対する複数の資格証明の作成を制限するために、リライング・パーティによって使用されます。デフォルトでは選択されていません。
- 「変更の保存」をクリックします。
- 要求されたら、変更を確認します。