パスワードレス認証

1. 概要

機能名：パスワードレス認証（Passwordless Authentication）
導入背景
- 既存のID/PWベースの認証のセキュリティ脆弱性を補完し、ユーザー認証体験を改善するための**パスワードレス認証（Passwordless Authentication）**の導入
対象システム：SHIELD ID認証プラットフォーム
適用対象者：SHIELD IDアカウント保有ユーザーの中で該当認証ポリシーが適用されたユーザー
主要提供方式
- FIDO2 WebAuthn

機能目的
- SHIELD IDログイン時にパスワードなしで登録した認証デバイス（セキュリティキーまたは生体情報）を通じて本人認証を実行できるようにサポート
- セキュリティ強化およびユーザー認証体験の改善
適用範囲

項目	内容
認証対象	SHIELD IDに登録されたユーザーの中でFIDO2デバイスを登録したユーザー
サポートデバイス	Windows Hello（PINまたは指紋認証）、Yubikey（セキュリティキー）など

備考

💡 登録は必ずEdgeブラウザで行う必要があり、登録後の認証はEdgeまたはChromeブラウザで自由に使用できます。

パスワード方式でSHIELD ID認証を実行します。
ポリシーに従ってPasswordless認証デバイスを設定するかどうかをユーザーに問い合わせます。
ユーザーは後で行うオプションと設定オプションの中から選択します。
- 後で行う
  - ID/PW入力が完了したため、その時点での認証は成功しますが、次回のSHIELD ID認証時に同じ登録問い合わせ画面が表示されます。
  - **今日一日表示しない**チェックボックスオプション使用時、一日間その画面が表示されないようにすることができます。
- 設定
  - 4番目のフローに進みます。
EdgeブラウザでWindows Helloまたはセキュリティキーを通じてパスキーを登録します。
- ⚠️ 制約事項：Chromeで登録する場合、パスキーがGoogleパスワードマネージャーに保存され、Edgeでは使用できません。
- (✅ 選択) 事前にWindows Hello（PINまたは指紋）を登録すると、認証時により速く便利にログインできます。
パスキー登録が完了すると、ユーザーに設定が完了したという案内画面が表示されます。
該当ユーザーは次回の認証時からPasswordless認証が適用されます。

❌ 登録失敗時：リセット（再登録）または後で行うオプションを提供します。
- リセット：登録を再度進行します。
- 後で行う：上記と同様に該当認証は成功しますが、次回の認証時に再登録要求が強制されます。
デバイス認証動作フロー

SHIELD ID認証を実行します。
- ユーザーIDを入力します。
Passwordless認証が優先的に適用され、ユーザーにPasswordless認証を要求します。
- ユーザーは画面下部の**他の方法でログインボタンを押してパスワード認証方式**に切り替えることができます。
- 逆に、パスワード入力画面からも**セキュリティキーまたは生体認証プログラムで認証**ボタンを押して再度Passwordless方式に切り替えることができます。
ユーザーは登録したデバイスに応じてブラウザで提供される画面に合わせて認証を実行します。
- 複数登録時は認証手段を選択します。
認証が正常に完了したという案内画面が提供され、認証が完了します。
- 🚨 認証失敗
  - 再試行するか、他の方法でログインを通じて認証を実行する必要があります。
  - 認証が失敗と認識される代表的なケースは大きく以下の2つに分類できます。
    - ユーザーがキャンセルボタンを押した場合
    - 認証時間が超過した場合
      - ブラウザおよびプラットフォーム認証者は独自のデフォルト値を使用します。
      - 公式仕様やドキュメントにも正確な数字は固定されていませんが、実測および複数の資料基準では以下のように予想できます。

環境	デフォルトタイムアウト（推定値）	根拠および説明
Chrome（Windows Hello）	約60秒	ChromiumベースのテストおよびFIDOフォーラム基準
Edge（Windows Hello）	約60秒	Microsoftコミュニティフィードバック基準