要在 Workspace ONE Access 服务中设置 FIDO2 身份验证,请在该内置身份提供程序中启用 FIDO2 身份验证、配置 FIDO2 设置并启用 FIDO2。然后,可以配置访问策略规则,以便使用 FIDO2 进行身份验证。

FIDO2 身份验证仅可用于通过 Workspace Intelligent Hub Web 门户访问 Web 应用程序。

前提条件

系统要求

浏览器 操作系统 身份验证器类型
Google Chrome 85 或更高版本 MacOS 10.15.7 TouchID

外部 (Yubikey)

Windows 10 Windows Hello

外部 (Yubikey)

Safari 14.02 或更高版本 MacOS 10.15.7 外部 (Yubikey)
Microsoft Edge Chromium 85 或更高版本 Windows 10 Windows Hello

外部 (Yubikey)

Firefox 81 或更高版本 Windows 10 外部 (Yubikey)

过程

  1. Workspace ONE Access 控制台的“身份和访问管理”选项卡中,转到管理 > 身份验证方法
    1. FIDO2 行中,单击铅笔图标
    2. 配置 FIDO2 设置。
      选项 描述
      启用 FIDO 适配器 在该服务中的内置身份提供程序上启用 FIDO2 身份验证。
      在登录期间启用注册 默认情况下已启用该选项。在启用了 FIDO2 身份验证的情况下用户首次尝试登录时,系统会要求用户注册其 FIDO2 身份验证器。
      最大身份验证尝试次数 用户在收到“访问被拒绝”消息之前可尝试进行身份验证的次数。
      证明传输首选项

      从身份验证器返回的证明数据包含了可用于跟踪用户的信息。此选项允许 Workspace ONE Access 服务器指示证明数据对于 FIDO2 注册事件的重要程度。

      • 。默认值。此值表示依赖方对身份验证器证明不感兴趣。
      • 间接。此值表示依赖方首选证明传送,这将产生可验证的证明声明,但允许客户端决定如何获取此类证明声明。
      • 直接。此值表示依赖方希望接收由身份验证器生成的证明声明。
        注: 如果证明传送首选项是“直接”或“间接”,则 TouchID 身份验证器将不起作用。
      用户验证首选项 配置用户验证的处理方式。

      默认值是必需。此选项可提供最高安全性。

      • 不建议。此值表示依赖方不希望在身份验证期间使用用户验证。
      • 首选。此值表示依赖方会尽可能首选用户验证,但如果响应中未设置 UV 标记,则该操作将不会失败。
      • 必需。默认值。此值表示依赖方要求用户验证操作,如果响应中未设置 UV 标记,则该操作将失败。
      身份验证器类型首选项

      如果管理员正在注册用户,请选择跨平台。如果用户正在注册设备,请选择“平台”。要同时使用这两个选项,请选择全部

      • 平台。连接到设备的身份验证器。例如,运行 Windows Hello 的笔记本电脑。
      • 跨平台。可移植且跨平台的身份验证器。例如,YubiKey。可以在多个设备上使用这些身份验证器。
      • 全部
      身份验证超时 (秒) 输入在请求到期前等待响应的时间(秒)。建议的时间为 180 秒(3 分钟)。
      操作类型 (可选)

      您可以为用户配置限制规则,以根据用户 AAGUID 允许特定 FIDO2 安全密钥,或根据 AAGUID 阻止特定 FIDO 安全密钥。

      如果选择了操作类型,请配置要管理的 AAGUID 身份验证器列表

      AAGUID 身份验证器列表

      如果选择了操作类型,请列出要允许或阻止的所有身份验证器类型的 FIDO2 安全密钥 AAGUID。

      每个身份验证器都应在注册期间提供身份验证器证明 GUID (AAGUID)。AAGUID 是一个 128 位标识符,用于指示身份验证器的类型,例如,身份验证器的厂商和型号。

      AAGUID 表示为字符串,例如 7a98c250-6808-11cf-b73b-00aa00b677a7,由以短划线 (-) 分隔的 5 个十六进制字符串组成。

    3. 单击保存
  2. 导航到管理 > 身份提供程序,然后选择已配置的内置身份提供程序。
    1. 身份验证方法部分中,选择 FIDO2
    2. 单击保存

后续步骤

在“策略”中创建 FIDO2 注册策略规则以及 FIDO2 身份验证策略规则。