Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

8.8. パスキー

Red Hat build of Keycloak は、パスキー のプレビューサポートを提供します。Red Hat build of Keycloak は、Passkeys Relying Party (RP) として機能します。

パスキーの登録と認証は、WebAuthn の機能によって実現されます。したがって、Red Hat build of Keycloak のユーザーは、既存の WebAuthn の登録と認証 を使用して、パスキーの登録と認証を行うことができます。

注記

同期されたパスキーとデバイスにバインドされたパスキーは、Same-Device Authentication と Cross-Device Authentication (CDA) の両方に使用できます。ただし、パスキー操作の成功は、ユーザーの環境によって異なります。どの操作が 環境 で正常に実行されるかを確認してください。

8.8.1. 条件付き UI によるパスキー認証
リンクのコピー

条件付き UI を使用したパスキー認証では、LoginLess WebAuthn と同じ方法でパスキーを使用してユーザーを認証できます。この認証では、ユーザーがブラウザーを実行しているデバイスに保存されているパスキーのリストがユーザーに表示されます。したがって、ユーザーはリスト内のパスキーの 1 つを選択して認証できます。LoginLess WebAuthn と比較して、この認証ではユーザーの認証エクスペリエンスが向上します。

注記

この認証では、WebAuthn 条件付き UI が使用されます。したがって、この認証の成功はユーザーの環境に依存します。環境が WebAuthn 条件付き UI をサポートしていない場合、この認証は LoginLess WebAuthn にフォールバックします。

注記

パスキー認証は テクノロジープレビュー であり、完全にはサポートされていません。この機能はデフォルトで無効化されています。

有効にするには、--features=preview または --features=passkeys でサーバーを起動します。

8.8.1.1. 設定
リンクのコピー

手順

条件付き UI によるパスキー認証を次のようにセットアップします。

  1. すでに存在する場合は、WebAuthn パスワードレスサポートに新しい必須アクションを登録します。WebAuthn Authenticator 登録を有効にする で説明されている手順を使用します。Webauthn Register Passwordless アクションを登録します。

  2. WebAuthn Passwordless Policy を設定します。Admin Console の Authentication セクションの Policies WebAuthn Passwordless Policy タブで設定を実行します。ログインレスシナリオのポリシーを設定する場合は、User Verification Requirementrequired に設定し、Require discoverable credentialYes に設定します。専用のログインレスポリシーがないため、user verification=no/discoverable credential=no とログインレスシナリオ (user verification=yes/discoverable credential=yes) を混在させることはできない点に注意してください。

    注記

    通常、ハードウェアパスキーのストレージ容量は非常に限られており、パスキーに多くの検出可能な認証情報を保存することはできません。ただし、たとえば、Google アカウントでバックアップされた Android スマートフォンをパスキーデバイスとして使用したり、Bitwarden でバックアップされた iPhone を使用したりすると、この制限が緩和される可能性があります。

  3. 認証フローを設定します。新しい認証フローを作成し、Passkeys Conditional UI Authenticator 実行を追加して、実行の要件設定を Required に設定します。

    フローの最終的な設定は以下のようになります。 Passkey Authentication with Conditional UI flow flow

  4. 上記の WebAuthn セクション で説明されているように、上記のフローをレルム内の ブラウザー 認証フローとしてバインドします。

上記の認証フローでは、ユーザーがログインするためには、自分のアカウントにパスキー認証情報がすでに存在している必要があります。この要件は、レルム内のすべてのユーザーにパスキーがすでに設定されている必要があることを意味します。これは、たとえば、以下に説明するようにユーザー登録を有効にすることで実現できます。

8.8.1.2. パスキー条件付き UI の登録のセットアップ
リンクのコピー

  1. レルムの registration を有効にします。
  2. レルムの authentication flows で、registration フローを選択し、オーセンティケーターの Password validationDisabled に切り替えます。つまり、この例のセットアップでは、新しく登録したユーザーはパスワードを作成する必要はありません。ユーザーは常にパスワードではなくパスキーを使用する必要があります。
  3. Authentication タブの Required actions サブタブに戻り、Webauthn Register Passwordless アクションを確認し、Set as default action とマークします。つまり、登録後、すべての新規ユーザーに追加されることを意味します。

登録フローセットアップの代替案は、Red Hat build of Keycloak にすでに認識されているユーザーに、必要なアクション WebAuthn Register Passwordless を追加することです。必須アクションが設定されているユーザーは、(ユーザー名/パスワードなどを使用して) 認証を行う必要があります。その後、ログインレス認証に使用するパスキーを登録するように求められます。

注記

使いやすさを向上させ、条件付きパスキーを既存のオーセンティケーターやデフォルトのユーザー名/パスワードフォームなどのフォームと統合できるようにする予定です。

注記

Web Authn Level 3 からは、Resident KeyDiscoverable Credential に置き換えられました。

ユーザーのブラウザーが WebAuthn Conditional UI をサポートしている場合は、次の画面が表示されます。

条件付き UI によるパスキー認証

Passkey Authentication with Conditional UI

ユーザーが Select your passkey テキストボックスをクリックすると、ユーザーがブラウズを実行しているデバイスに保存されているパスキーのリストが、次のように表示されます。

条件付き UI によるパスキー認証の自動入力

Passkey Authentication with Conditional UI Autofill

ユーザーのブラウザーが WebAuthn 条件付き UI をサポートしていない場合、認証は次のように LoginLess WebAuthn にフォールバックします。

条件付き UI によるパスキー認証は、LoginLess WebAuthn にフォールバックします。

Passkey Authentication with Conditional UI falling back to LoginLess WebAuthn

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る