概要
企業向け認証器とは
YubiOn FIDO Logonでは、FIDO2シナリオの追加メカニズムであるEnterprise Attestation機能に対応しています。
Enterprise Attestation機能は、その機能に対応した認証器が必要になります。YubiOn FIDO Logonでは、このEnterprise Attestation機能に対応した認証器のことを「企業向け認証器」と呼びます。
通常、パスキー(FIDO認証)はエンドユーザーが使用する認証器を識別することができません。そのため、エンドユーザーは自由に認証器を登録することができます。
しかし、企業によっては、エンドユーザーがパスキーで保護されているだけでは十分ではなく、そのパスキーが自社で準備した認証器のみを利用していることを保証したい場合があります。
Enterprise Attestationは、認証器を一意に識別して、使用が許可されているかどうかを判別できる機能を提供しており、上記のような企業の要望に対応することを目的としたものです。
この項目では、具体的にFIDO Logonで企業向け認証器の概要や、使用するための準備および手順についてご説明します。
企業向け認証器を使うことでできること
企業向け認証器およびその機能を使うことで、YubiOn FIDO Logon内で使用可能な認証器を制限することができます。
これにより、企業の管理者が用意した認証器だけをエンドユーザーに使用させることが可能になるほか、どのエンドユーザーがどの認証器を使用しているかが特定できるため、資産管理や物品管理が可能になります。
YubiOn FIDO Logonの設定
YubiOn FIDO Logonでは以下の認証時に使用する認証器を、企業向け認証器に制限することができます。
- ローカルアカウントがPCにログオンする際に使用する認証器
- ドメインアカウントがPCにログオンする際に使用する認証器
- 管理者がYubiOn FIDO Logonの管理Webサイトにログインする際に使用する認証器
制限の方法は以下のパターンで設定可能ですので、お客様の運用ポリシーに合わせて選択・設定を行ってください。
- 企業向け認証器のみ登録可能 … カスタマーに登録された企業向け認証器であればすべて利用可能です
- アカウントに割り当てられた企業向け認証器のみ登録可能 … あらかじめ管理者が割り当てを行った企業向け認証器のみ利用可能です
- 全てのFIDO認証器を登録可能 … すべての認証器が利用可能です(制限を行わない)
| 設定値 | 一般的な認証器 | ユーザーに未割り当ての企業向け認証器 | ユーザーに割り当てた企業向け認証器 |
|---|---|---|---|
| 企業向け認証器のみ登録可能 | 登録不可 | 登録可 | 登録可 |
| アカウントに割り当てられた企業向け認証器のみ登録可能 | 登録不可 | 登録不可 | 登録可 |
| 全てのFIDO認証器を登録可能 | 登録可 | 登録可 | 登録可 |