Workspace ONE AccessがFIDO2に対応したようです。
FIDO2はすごく単純化して言うと「パスワードレス認証」ですね。
FIDO2に対応したことによって、USBキーまたはWindows10であれば「Windows Hello」、macOSであれば「TouchID」でログインができるようになった、というところです。
今回はWindows10デバイスを使用して、Windows HelloでWorkspace ONE Accessにログインする、ということをやってみたいと思います。
ざっくりの流れは以下の通りです。
1.FIDO2認証の有効化
2.認証ポリシーにFIDO2認証を追加
3.動作確認
3.1.認証子を登録(初回のみ)
3.2.Windows Helloでログイン
1.FIDO2認証の有効化
Workspace ONE Accessの管理コンソールにログインし、[IDとアクセス管理]>[認証方法]をクリック後、[FIDO2]の編集ボタンをクリックします。
[FIDO2 アダプタを有効にする]にチェックを入れ、[保存]をクリックします。
[IDとアクセス管理]>[IDプロバイダ]をクリックし、組み込みIDPで[FIDO2]を有効化して保存します。
2.認証ポリシーにFIDO2認証を追加
3.動作確認
3.1.認証子を登録(初回のみ)
Windows10のChromeでWorkspace ONE Accessのログイン画面を表示すると、FIDO2認証の画面が表示されます。FIDO2による認証を実行するためには、事前に認証子が登録されている必要があるため、初回ログイン時に登録を行います。
[登録]のリンクをクリックします。
FIDO2認証子登録用の認証ルールがキックされるので、ログインします。
登録のポップアップが表示されるため、[続行]をクリックします。
[OK]をクリックします。
【補足】
今回の検証では顔認証を選択しましたが、PINも利用できますし、デバイスが対応していれば指紋認証も利用できます。PINを選択した場合はこのタイミングでPINの入力が要求されます。
[許可]をクリックします。
認証子の登録が完了したので任意の名前を入力し、[保存]をクリックします。
これで、認証子の登録は完了したので次回以降はこの認証子を使用してログインすることができるようになりました。
3.2.Windows Helloでログイン
再度ChromeでWorkspace ONE Accessのログイン画面を表示すると、またFIDO2認証の画面が表示されるので、今度は[FIDO2認証子でログイン]をクリックします。
ログインするユーザの認証子を選択して、[OK]をクリックします。
【補足】
検証のためにいくつかのユーザで試したので複数表示されていますが、基本的には1つしか表示されないはずです。[セキュリティキー]はUSBキーを使用するときに選択します。
Windows Helloの顔認証が完了したら[OK]をクリックします。
FIDO2はいわゆるパスワードレス認証ですが、パスワードの情報がネットワークを流れない分、通常のID/パスワード認証よりも安全性が高いとも言われてますし、Windows HelloやTouch IDでスルッとログインすることができれば、ユーザビリティの向上も望めるかもしれません。
コメント
コメントを投稿