6.6.6. パスワードなしの WebAuthn と 2 つのファクターの組み合わせ
WebAuthn は頻繁に 2 要素認証に使用されますが、ファクター認証として使用することもできます。この場合、パスワードなし
の WebAuthn 認証情報を持つユーザーは、パスワードなしで Red Hat Single Sign-On に対して認証できます。Red Hat Single Sign-Onでは、単一のレルムのコンテキストで、さらには単一の認証フローのコンテキストでも、パスワードなしおよび2 要素の認証メカニズムとして WebAuthn を使用できます。
管理者は、通常、WebAuthn パスワードレス認証でユーザーが登録するセキュリティーキーが異なる (通常はより強力な) 要件を満たす必要があることがあります。たとえば、そのセキュリティー鍵では、PIN を使用してそのセキュリティーキーに対する認証が必要になることがあり、セキュリティーキーは強力な認証局でテストする必要があります。
このような状況では、Red Hat Single Sign-On により、管理者は個別の WebAuthn パスワードレスポリシー
を設定できます。別の認証タイプ WebAuthn Passwordless Authenticator
と、別の必須アクションのタイプWebauthn Register Passwordless
があります。
6.6.6.1. setup
WebAuthn パスワードレスサポートのセットアップ手順は、以下のとおりです。
-
WebAuthn パスワードレスサポートに必要な新しいアクションを登録します。
Webauthn Register Passwordless
パスワードレスというアクションを登録する必要がある唯一の違いは、上記 の手順と同じ手順を使用してください。 -
ポリシーを設定します。上記 の手順と設定オプションは同じですが、
WebAuthn Passwordless Policy
タブ の管理コンソールで設定する必要があります。このポリシーを必要に応じて設定できますが、通常、2 要素ポリシーよりもセキュリティーキーの要件はより強力になります。たとえば、パスワードレスポリシーの設定時に、User Verfication Reuqirement
をRequired
に設定できます。 最後に認証フローを設定します。上記の説明にあるように
WebAuthn Browser
と同じフローを使用すると仮定します。ただし、以下のように設定します。-
WebAuthn ブラウザー
サブフローには、最初のオーセンティケーターとしてユーザー名フォーム
が含まれます。デフォルトのUsername Password Form
オーセンティケーターを削除し、代わりにUsername Form
オーセンティケーターを追加します。この設定は、最初のステップとしてユーザーがユーザー名を提供することを意味します。 -
必要なサブフロー (
Passwordless Or Two-factor
等) があります。この設定は、Passwordless WebAuthn 認証情報または Two-factor 認証のいずれかで認証できることを示しています。 -
フローには、最初の代替
WebAuthn Passwordless Authenticator
が含まれます。 -
2 つ目の代替は、
Password And Two-factor Webauthn
などのサブフローです。このサブフローには、Password Form
とWebAuthn Authenticator
が含まれます。
-
フローの最後の設定は以下のようになります。
Red Hat Single Sign-On にすでに知られている一部のユーザーに、必要なアクションとして WebAuthn Register Passwordless
を追加してテストできるようになりました。最初の認証時に、ユーザーはパスワードおよび二次的な WebAuthn 認証情報を使用する必要があります。ただし、ユーザーが認証情報を登録すると、そのユーザーは今後の認証時に選択できます。WebAuthn パスワードレス認証情報を使用する場合は、パスワードと 2 要素 WebAuthn 認証情報を指定する必要はありません。