オプションのパスキー構成

最終ログイン時刻の更新を無効にする

デフォルトでは、Domino は、その資格情報が認証に正常に使用された後、常に passkey.nsf 内のパスキー資格情報の最終ログイン時刻を更新します。これは、トラフィックの多いサーバーのパフォーマンスに悪影響を与える可能性があります。サーバーの Notes.ini でPASSKEY_ALWAYS_UPDATE_LAST_LOGIN=0を設定すると、この機能が無効になり、認証時に認証システムがゼロ以外のカウンターを送信した場合にのみ、Domino は資格情報の最終ログイン時刻を更新します。これによりパフォーマンスは向上しますが、passkey.nsf の最終ログイン時刻が不一致になります。

構成証明リクエストの無効化

構成証明ステートメントは、積極的に侵害されたログイン セッション中のパスキー登録のセキュリティを向上させ、認証者が識別情報を証明書利用者に送信することを奨励します。

デフォルトでは、Domino は、passkey.nsf の「認証者名」フィールドにデータを入力するために、パスキーの登録中に認証者に「直接」構成証明ステートメントを提供するように要求します。これにより、ブラウザとプラットフォームの組み合わせによっては、ユーザーのプライバシーを侵害する可能性のある情報を提供する許可をユーザーに求めることになり、シークレット ブラウザ ウィンドウでのパスキーの登録が失敗する可能性があります。Domino 14.0 は、「なし」および「自己」証明書を検証でき、これらのタイプの受信時に検証を行います。他の種類の証明書では検証に外部メタデータが必要ですが、検証されません。

Domino サーバーの Notes.ini でPASSKEY_REQUEST_DIRECT_ATTSTMT=0が設定されている場合、Domino は認証タイプ「なし」を要求します。これにより、ほとんどの認証システムはすべてゼロの AAGUID を登録します。これは、passkey.nsf の空白の「認証システム名」フィールドに対応します。

パキーの登録制限を解除する

通常、各ユーザーは、混乱を避けるために、各信頼当事者の認証子ごとに 1 つのパスキーを登録するように制限されています。おそらくテスト目的でその制限を削除したい場合は、サーバーのnotes.iniでPASSKEY_ALLOW_REPEATED_REGISTRATION=1を設定します。

ユーザー認証を要求する

認証システムは、パスキーを使用する前に常にユーザーの存在を確認します。デフォルトでは、オーセンティケータは、可能であればユーザー検証を要求しますが、それができない場合は要求しません。たとえば、一部の古い Yubikey デバイスには、ユーザーの存在を示すために押すボタンのみがあり、デバイスを使用してユーザーの身元を確認するための指紋リーダーや PIN がありません。同様に、一部のラップトップでは、ラップトップの蓋が閉じていて指紋リーダーが現在アクティブでない場合に、パスキー認証が可能になります。管理者は、Domino サーバーの Notes.ini でPASSKEY_REQUIRE_USER_VERIFICATION=1を設定することにより、ユーザー認証を要求できます。これは、PIN なしで構成された生体認証を持たない FIDO2 デバイスを使用するユーザーや、閉じて「ドッキング」されたラップトップを使用するユーザーに悪影響を与える可能性がありますが、多要素認証を厳密に強制するために使用できます。