アプリやウェブサイトへのパスキーの統合は、パスキーへの取り組みの始まりにすぎません。最初のデプロイ後に発生する可能性のある課題の一つは、ユーザーがパスキーの概要とその作成方法を確実に理解できるようにすることです。
ユーザーがパスワードを使用してログインし、2 段階認証プロセスで認証した直後に、パスキーを作成することをおすすめします。アプリやツールを切り替えながらパスワードを覚えたり、ワンタイム パスワードを入力したりすることは、ユーザーにとって不便です。ユーザーが不満を感じる可能性が高いため、この時点でパスキーの作成をすすめるのが賢明です。
Google パスワード マネージャーでは、セルフマネージド プロモーションに加えて、ウェブサイトまたはアプリに代わって新しいパスキーの作成が提案されるようになりました。
ユーザー エクスペリエンス
Google Pixel デバイスでは、ウェブサイトまたはアプリがパスキーをサポートしていることを Google パスワード マネージャーが検出し、新しいパスキーの作成をユーザーに提案してパスキー作成ページに誘導します。
パスキーのエンドポイントを追加する
Google パスワード マネージャーでパスキーのアップグレードを有効にするには、サーバーの /.well-known/passkey-endpoints に JSON ファイルを配置します。これは「パスキー エンドポイントの well-known URL」と呼ばれ、提携団体がパスキーのサポートを正式にアドバタイズし、パスキーの登録と管理のための直接リンクを提供するためのオープン プロトコルです。他のプラットフォームでパスキー エンドポイントの well-known URL をサポートしている場合、他のプラットフォームでも同様の効果が見込まれます。
たとえば、証明書利用者のドメインが https://passkeys-demo.appspot.com にある場合、URL は https://passkeys-demo.appspot.com/.well-known/passkey-endpoints になります。
エンドポイントから、次のような JSON ファイルを提供します。
{
"enroll": "https://passkeys-demo.appspot.com/home",
"manage": "https://passkeys-demo.appspot.com/home"
}
enroll は、ユーザーがパスキーを作成できる URL を指す必要があります。manage は、作成されたパスキーをユーザーが管理できる URL を指す必要があります。
Google パスワード マネージャーは、パスワード エントリは存在するが Google パスワード マネージャーにパスキー エントリが存在しない場合に、パスキー エンドポイントの well-known URL を参照します。
パスキー エンドポイントの well-known URL をデプロイするホストを決定する
パスキーの登録 URL が id.example.com で、パスキーの RP ID が example.com の場合、パスキー エンドポイントはどの URL でホストする必要がありますか?
パスキー エンドポイントは RP ID ドメインでホストする必要があります。上記の例では、エンドポイント URL は https://example.com/.well-known/passkey-endpoints です。パスワード エントリがパスワード マネージャー内の https://id.example.com に表示されても問題ありません。
パスキーのアップグレード フォームに入力する
パスキー エンドポイントの well-known URL をデプロイしたら、こちらのフォームに記入してください。
Android アプリをサポートする
ユーザーを Android アプリのパスキー作成ページに移動するには、Android アプリリンクを設定して、所有するウェブ URL をアプリ固有のフラグメントにリダイレクトできるようにします。