POST FIDO Create API

FIDO認証器を追加します。

FIDO認証器は、ネームスペース内で一意になります。
FIDO認証器はFIDOアライアンス認可した、FIDO2(U2Fを含む)準拠認証器を利用可能です。
当サービスでは、どちらのFIDO認証器でもご利用できます。 ただし、FIDO UAFはご利用できません。

  • FIDO(Fast IDentity Online) : ユーザー認証におけるパスワードへの依存を軽減するために、オープンで拡張性と相互運用性があるメカニズムを定義する技術仕様です。
  • FIDO2 : パスワードレス認証のメカニズムを定義する認証仕様です。W3C採用のWebAuthnと認証器のプロトコルCTAP2で構成されます。U2FやUAFとの下位互換性があります。
  • U2F(Universal Second Factor) : 公開鍵暗号化を利用した認証デバイスによる認証方式です。既存のパスワードと組み合わせすことでセキュリティを強化します。
  • UAF(Universal Authentication Framework) : バイオメトリクスによる認証方式です。パスワードレス認証が実現可能です。

  1. ドキュメント

FIDO認証器の登録は、下記のフローのとおりです。
自作のWebアプリケーションにFIDO認証器を登録するには、下記の機能を実装する必要があります

  • ブラウザ側 : FIDO認証器とサーバ側の登録処理の橋渡しを行う。
  • サーバ側 : FIDOの追加登録要求(DAuth API : fido/attestation_start)を行うAPI。
  • サーバ側 : FIDOの追加登録応答(DAuth API : fido/make_credential)を行うAPI。
ブラウザ側の処理を簡単にするために、DAuthではスクリプト(dauth.js)を提供しています。こちらからダウンロードできます。
各処理を実装するためのサンプルソースは、[API実行]ボタン下のタブでご確認いただけます。

ヘッダーパラメータ

[文字列型] DAuthのAPIキー(32桁)。事前にWebコンソールで作成して下さい。
APIキーのネームスペースと同じリソースにのみアクセスできます。
[文字列型] 要求元のOrigin情報。
FIDOを使用するWebサイトのURLが入ります。

リクエストパラメータ

Body
[文字列型] ユーザID。
[文字列型] ユーザの表示名。初めて登録する場合、未設定の場合はユーザIDとなります。
2回目以降登録するときにdisplay_nameを指定した場合は、その値で上書きされ、未設定の場合は前回値のまま更新しません。
[文字列型] FIDO認証器名。未設定の場合は、Fidoアライアンスのメタ情報に登録されているデバイス名が適用されます。
メタ情報にデバイス名が登録されていない場合は、"{display_name} Security Key"となります。
[文字列型] 認証器の正当性をRPが検証するための手段。デフォルトは"none"。
  • "none" : RP は attestation をすべて許容する。
  • "indirect" : RP は何らかの attestation を受けとるが、認証器で生成されたものでなくても許容する。
  • "direct" : RP は認証器で生成された attestation を許容する。
[文字列型] 登録対象となる認証器種別を指定。デフォルトは指定なし。
  • 指定なし:すべての認証器を対象とする。
  • "platform" : Windows HelloやmacOSのTouch IDなどの端末組み込みの認証器。
  • "cross-platform" : USBやNFC,BTなどプラットフォームに依存しない認証器。
[文字列型] PINや生体認証などユーザ認証を必要とするかどうかの挙動を指定。デフォルトは"discouraged"。
  • "discouraged" : 必要なし
  • "preferred" : あれば使う
  • "required" : 必須