要在 Workspace ONE Access 服务中设置 FIDO2 身份验证,请在该内置身份提供程序中启用 FIDO2 身份验证、配置 FIDO2 设置并启用 FIDO2。然后,可以配置访问策略规则,以便使用 FIDO2 进行身份验证。

FIDO2 身份验证可用于通过 Workspace ONE Intelligent Hub 应用程序和 Hub Web 门户访问 Web 应用程序。

注: Android 设备上的 Google Chrome 浏览器不支持将 FIDO2 作为主身份验证器。

前提条件

系统要求

浏览器 操作系统 身份验证器类型
Google Chrome 85 或更高版本 MacOS 10.15.7 TouchID

外部 (Yubikey)
Windows 10 Windows Hello

外部 (Yubikey)
Safari 14.02 或更高版本
注: 目前,由于最近 Apple 进行了更改,用户无法从 Safari Web 浏览器注册其 FIDO2 身份验证器。用户可以使用其他受支持的浏览器首次注册其 FIDO2 身份验证器。注册身份验证器后,用户便可以从 Safari 登录身份验证器。
MacOS 10.15.7 外部 (Yubikey)
Microsoft Edge Chromium 85 或更高版本 Windows 10 Windows Hello

外部 (Yubikey)
Firefox 81 或更高版本 Windows 10 外部 (Yubikey)

过程

  1. Workspace ONE Access 控制台的集成 > 身份验证方法页面中,选择 FIDO2
    1. 单击配置,然后配置 FIDO2 设置。
      选项 描述
      启用 FIDO 适配器 在该服务中的内置身份提供程序上启用 FIDO2 身份验证。
      在登录期间启用注册 默认情况下已启用该选项。在启用了 FIDO2 身份验证的情况下用户首次尝试登录时,系统会要求用户注册其 FIDO2 身份验证器。

      如果要直接在 Workspace ONE Access 控制台的帐户 > 用户页面中设置安全密钥,则可以禁用此设置。
      最大身份验证尝试次数 用户在收到“访问被拒绝”消息之前可尝试进行身份验证的次数。
      证明传输首选项

      从身份验证器返回的证明数据包含了可用于跟踪用户的信息。此选项允许 Workspace ONE Access 服务器指示证明数据对于 FIDO2 注册事件的重要程度。

      • 。此值表示依赖方对身份验证器证明不感兴趣。建议将值设置为
      • 间接。此值表示依赖方首选证明传送,这将产生可验证的证明声明,但允许客户端决定如何获取此类证明声明。
      • 直接。默认值。此值表示依赖方希望接收由身份验证器生成的证明声明。
        注: 如果证明传送首选项是“直接”或“间接”,则 TouchID 身份验证器将不起作用。
      用户验证首选项 配置用户验证的处理方式。

      默认值是必需。此选项可提供最高安全性。

      • 不建议。此值表示依赖方不希望在身份验证期间使用用户验证。
      • 首选。此值表示依赖方会尽可能首选用户验证,但如果响应中未设置 UV 标记,则该操作将不会失败。
      • 必需。默认值。此值表示依赖方要求用户验证操作,如果响应中未设置 UV 标记,则该操作将失败。
      身份验证器类型首选项

      如果管理员正在注册用户,请选择跨平台。如果用户正在注册设备,请选择“平台”。要同时使用这两个选项,请选择全部

      • 平台。连接到设备的身份验证器。例如,运行 Windows Hello 的笔记本电脑。
      • 跨平台。可移植且跨平台的身份验证器。例如,YubiKey。可以在多个设备上使用这些身份验证器。
      • 全部
      身份验证超时 (秒) 输入在请求到期前等待响应的时间(秒)。建议的时间为 180 秒(3 分钟)。
      操作类型 (可选)

      您可以为用户配置限制规则,以根据用户 AAGUID 允许特定 FIDO2 安全密钥,或根据 AAGUID 阻止特定 FIDO 安全密钥。

      如果选择了操作类型,请配置要管理的 AAGUID 身份验证器列表

      建议将值设置为阻止
      AAGUID 身份验证器列表

      列出要允许或阻止的所有身份验证器类型的 FIDO2 安全密钥 AAGUID。

      每个身份验证器都应在注册期间提供身份验证器证明 GUID (AAGUID)。AAGUID 是一个 128 位标识符,用于指示身份验证器的类型,例如,身份验证器的厂商和型号。

      AAGUID 表示为字符串,例如 7a98c250-6808-11cf-b73b-00aa00b677a7,由以短划线 (-) 分隔的 5 个十六进制字符串组成。
    2. 单击保存
      Workspace ONE Access 建议的 FIDO2 设置页面
  2. 导航到集成 > 身份提供程序页面,然后选择已配置的内置身份提供程序。
    1. 身份验证方法部分中,选择 FIDO2
    2. 单击保存

下一步做什么

在“策略”中创建 FIDO2 注册策略规则和 FIDO2 身份验证策略规则。请参阅在 Workspace ONE Access 中创建 FIDO2 身份验证策略(仅限云部署版本)