パスキーの実装
このトピックでは、オンライン、エンタープライズ、および政府機関のアプリケーション全体で、および支払いにパスキー サインインを実装する方法について説明します。 パスワードの代わりにパスキーを実装して、Web サイトやアプリに、ユーザー フレンドリで暗号化されたセキュリティで保護されたサインインを提供できます。すべてパブリック WebAuthn API の提供。
世界中のコンシューマー サービス プロバイダー、企業、政府は、フォーム認証 (パスワードや SMS OTP など) からパスキー ベースのサインインに移行しています。すべての組織には、独自のさまざまなユース ケースとビジネス要件があります。
パスキーのしくみ
パスキーでは、標準的な公開キー暗号化手法が使用されます。 ユーザーがオンライン サービスに登録すると、ユーザーのクライアント デバイスによって、Web サービス ドメインにバインドされた新しい暗号化キー ペアが作成されます。 デバイスは秘密キーを保持し、公開キーをオンライン サービスに登録します。 これらの暗号化キー ペアは、パスキーと呼ばれ、一意であり、オンライン サービス ドメインにバインドされます。
認証のしくみは、サインインを完了するための課題を提示することによって、ユーザーのデバイスが秘密キーの所有を証明する必要があるということです。 これは、ユーザーが生体認証 (拇印など) またはローカル PIN の迅速かつ簡単な入力、または FIDO セキュリティ キーのタッチを介して、デバイス上でローカルにサインインを承認した後に発生します。 サインインは、ユーザーのデバイスとオンライン サービスからのチャレンジ応答を介して完了します。 サービスで秘密キーが表示されたり、保存されたりすることはありません。
パスキーをオンライン サービスに登録するには:
- ユーザーはパスキーの作成を求められます。
- ユーザーは、ローカル認証方法 (生体認証など) を使用してパスキーの作成を検証します。
- ユーザーのデバイスは、ローカル デバイス、オンライン サービス、ユーザーのアカウントに対して一意の新しい公開キーと秘密キーのペア (パスキー) を作成します。
- 公開キー (および オンライン サービスに送信され、ユーザーのアカウントに関連付けられている 。
その後、パスキーを使用してサインインするには:
- ユーザーは、パスキーを使用してサインインするように求められます。
- ユーザーは、ローカル認証方法 (生体認証など) を使用して、サインインとパスキーを検証します。
- デバイスは、(サービスによって提供される) ユーザーのアカウント識別子を使用して正しいキーを選択し、サービスのチャレンジに署名します。
- クライアント デバイスは、署名されたチャレンジをサービスに送り返します。これにより、格納されている公開キーを使用して検証され、ユーザーがサインインします。
コンシューマー、企業、政府機関、または支払いにパスキーを実装する
このセクションは、パスキーの実装を検討している場合に適しています。
FIDO を初めて使用する場合は、まず User 認証仕様の概要を確認することをお勧めします。 その後、
FIDO 認定ショーケースでは、FIDO Alliance メンバーとその FIDO 認定ソリューションが強調されています。 FIDO をデプロイする場合は、優れたリソースです。
FIDO Enterprise Deployment Working Group (EDWG) は、パスキーを検討するリーダーや実務者向けにガイダンスを提供する一連のホワイト ペーパーを開発しました。これは、SMB から大企業へのスケーリングです。 重要な決定ポイントについては、「 Enterpriseを参照してください。
フィールドが市民サービスまたは政府の従業員アプリケーションの行に沿っている場合は、「 Government」を参照してください。
パスキーに最適な支払いシナリオの詳細については、「 Payments」を参照してください。
次のステップ
詳細情報
Windows developer