1ー2.(管理者向け)利用する認証器の制限を行う

FIDOパスワードレス認証では、登録URLの有効期限の変更や、利用する認証器の制限など、ご利用環境に合わせた設定変更が可能です。
このページでは、利用環境を設定する方法をご紹介します。

トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、
「FIDOパスワードレス認証」の右にある「設定」ボタンを押します。


赤枠の矢印部分をクリックすると、設定画面が展開されます。「編集」をクリックして設定を変更します。設定の変更が完了したら「保存」をクリックすると反映されます。


FIDOオプション設定:

登録URLの有効期間(初期値:1日):
 認証器を登録するURLの有効期間を設定できます。(1-30日の間)
 URLの有効期間が過ぎると、そのURLを利用して認証器を登録することができなくなります。
 メールを再送することで再発行が可能で、メール送信時を起点に有効期限が設定されます。
FIDO認証器の登録上限数(初期値:10台):
 1ユーザで登録できる認証器の上限数を設定できます。(1-10台の間)
割当されたメンバーに通知する(初期値:オン):
 メンバーやグループを追加した場合に、割当されたメンバーまたはグループに属するメンバー宛に、
FIDOパスワードレス認証 認証器登録のお願い」というメールが送信されます。
 オフにすると割り当て時に、対象者へメールは送信されません。
 管理者からメールを送信したい場合はこちら
メンバーが認証器名の編集をすることを許可する(初期値:オン)
 オンの場合、メンバーはプロフィール画面から認証器名の編集が可能になります。
 オフの場合、メンバーは編集ができなくなります。
メンバーが認証器の削除をすることを許可する(初期値:オン)
 オンの場合、メンバーはプロフィール画面から認証器の削除が可能になります。
 オフの場合、メンバーは削除ができなくなります。

利用を許可する認証器:

内部/外部認証器の指定(初期値:内蔵型/外付け型両方の認証器を許可する):

内蔵型(プラットフォーム)認証器:ログイン操作する端末に内蔵された認証

例:Windows Hello、macOS TouchID、iPhone FaceID・TouchID、Android 顔・指紋認証器

外付け型(ローミング)認証器:USB・NFC・Bluetoothでログイン操作する端末へ接続する認証専用器

例:YubiKey、iePass K44、ATkey.Proなどのセキュリティーキーデバイス
  PCへログインする際にiPhoneやAndroid端末を利用する

利用する認証器を内蔵型のみ、外付け型のみに制限したい場合は、許可したい認証器設定に変更してください。
本人確認機能の指定(初期値:本人確認のない認証器を許可する):
セキュリティ―キーの本人確認機能(指紋認証、PIN)のある認証器のみ許可したい場合は、
「本人確認機能のある認証器のみ許可する」へ変更してください。

本人確認機能のない認証器で登録操作を行うと、以下のようなメッセージが表示され、登録が行えないようになります。(画面はWindowsの操作の場合)

 

利用するセキュリティキーのモデルを限定する(AAGUID(認証識別子)の登録):

AAGUIDとは、外付け型認証器に割り振られた識別子です。一般的に認証機ごとに同一のAAGUIDが割り当てられています。
AAGUIDを登録することにより、トラスト・ログインの認証に利用する認証器を限定することが可能です。
※モデルによっては、AAGUIDが割り当てられていないものもございますのでご注意ください。
※AAGUIDの登録を行うと許可されていない認証器は利用できなくなりますのでご注意ください。


  1. 「AAGUID(認証識別子)の登録」をクリックします。


  2. AAGUIDを直接入力するか、「実機からAAGUIDを取得」をクリックします。
  3. 例:Windows端末Chrome上の操作で外部認証器を登録する手順
    ※ご利用端末、ブラウザにより表示内容や画面遷移が異なる場合があります。
    「パスキーを作成する」がポップアップされるので、「Windows Hello または外部セキュリティ キー」を選択します。


  4. 「OK」をクリックします。
  5. 「OK」をクリックします。
  6. 認証器をUSBポートに挿入します。
  7. 認証器に設定した認証方法(画面イメージはPIN)を入力します。
    ※認証器に設定した認証方法により異なる場合があります。


  8. 認証器の認証が完了すると、AAGUIDが取得されます。「追加」をクリックします。



  9. 管理ページの AAGUID一覧タブから登録が完了した情報が確認できます。

AAGUIDの解除方法:
対象の認証器を選択して、「選択したAAGUID(認証器識別子)を外す」をクリックします
確認画面から「はい」を選択すると解除されます。

1ー2.(管理者向け)利用する認証器の制限を行う

FIDOパスワードレス認証では、登録URLの有効期限の変更や、利用する認証器の制限など、ご利用環境に合わせた設定変更が可能です。
このページでは、利用環境を設定する方法をご紹介します。

トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、
「FIDOパスワードレス認証」の右にある「設定」ボタンを押します。


赤枠の矢印部分をクリックすると、設定画面が展開されます。「編集」をクリックして設定を変更します。設定の変更が完了したら「保存」をクリックすると反映されます。


FIDOオプション設定:

登録URLの有効期間(初期値:1日):
 認証器を登録するURLの有効期間を設定できます。(1-30日の間)
 URLの有効期間が過ぎると、そのURLを利用して認証器を登録することができなくなります。
 メールを再送することで再発行が可能で、メール送信時を起点に有効期限が設定されます。
FIDO認証器の登録上限数(初期値:10台):
 1ユーザで登録できる認証器の上限数を設定できます。(1-10台の間)
割当されたメンバーに通知する(初期値:オン):
 メンバーやグループを追加した場合に、割当されたメンバーまたはグループに属するメンバー宛に、
FIDOパスワードレス認証 認証器登録のお願い」というメールが送信されます。
 オフにすると割り当て時に、対象者へメールは送信されません。
 管理者からメールを送信したい場合はこちら
メンバーが認証器名の編集をすることを許可する(初期値:オン)
 オンの場合、メンバーはプロフィール画面から認証器名の編集が可能になります。
 オフの場合、メンバーは編集ができなくなります。
メンバーが認証器の削除をすることを許可する(初期値:オン)
 オンの場合、メンバーはプロフィール画面から認証器の削除が可能になります。
 オフの場合、メンバーは削除ができなくなります。

利用を許可する認証器:

内部/外部認証器の指定(初期値:内蔵型/外付け型両方の認証器を許可する):

内蔵型(プラットフォーム)認証器:ログイン操作する端末に内蔵された認証

例:Windows Hello、macOS TouchID、iPhone FaceID・TouchID、Android 顔・指紋認証器

外付け型(ローミング)認証器:USB・NFC・Bluetoothでログイン操作する端末へ接続する認証専用器

例:YubiKey、iePass K44、ATkey.Proなどのセキュリティーキーデバイス
  PCへログインする際にiPhoneやAndroid端末を利用する

利用する認証器を内蔵型のみ、外付け型のみに制限したい場合は、許可したい認証器設定に変更してください。
本人確認機能の指定(初期値:本人確認のない認証器を許可する):
セキュリティ―キーの本人確認機能(指紋認証、PIN)のある認証器のみ許可したい場合は、
「本人確認機能のある認証器のみ許可する」へ変更してください。

本人確認機能のない認証器で登録操作を行うと、以下のようなメッセージが表示され、登録が行えないようになります。(画面はWindowsの操作の場合)

 

利用するセキュリティキーのモデルを限定する(AAGUID(認証識別子)の登録):

AAGUIDとは、外付け型認証器に割り振られた識別子です。一般的に認証機ごとに同一のAAGUIDが割り当てられています。
AAGUIDを登録することにより、トラスト・ログインの認証に利用する認証器を限定することが可能です。
※モデルによっては、AAGUIDが割り当てられていないものもございますのでご注意ください。
※AAGUIDの登録を行うと許可されていない認証器は利用できなくなりますのでご注意ください。


  1. 「AAGUID(認証識別子)の登録」をクリックします。


  2. AAGUIDを直接入力するか、「実機からAAGUIDを取得」をクリックします。
  3. 例:Windows端末Chrome上の操作で外部認証器を登録する手順
    ※ご利用端末、ブラウザにより表示内容や画面遷移が異なる場合があります。
    「パスキーを作成する」がポップアップされるので、「Windows Hello または外部セキュリティ キー」を選択します。


  4. 「OK」をクリックします。
  5. 「OK」をクリックします。
  6. 認証器をUSBポートに挿入します。
  7. 認証器に設定した認証方法(画面イメージはPIN)を入力します。
    ※認証器に設定した認証方法により異なる場合があります。


  8. 認証器の認証が完了すると、AAGUIDが取得されます。「追加」をクリックします。



  9. 管理ページの AAGUID一覧タブから登録が完了した情報が確認できます。

AAGUIDの解除方法:
対象の認証器を選択して、「選択したAAGUID(認証器識別子)を外す」をクリックします
確認画面から「はい」を選択すると解除されます。