Zum Einrichten der FIDO2-Authentifizierung im Workspace ONE Access-Dienst aktivieren Sie die FIDO2-Authentifizierung, konfigurieren die FIDO2-Einstellungen und aktivieren FIDO2 im integrierten Identitätsanbieter. Anschließend konfigurieren Sie Zugriffsrichtlinienregeln für die Authentifizierung mit FIDO2.

Die FIDO2-Authentifizierung ist nur für den Zugriff auf Webanwendungen über das Workspace Intelligent Hub-Webportal verfügbar.

Voraussetzungen

Systemanforderungen

Browser Betriebssystem Authentifizierertyp
Google Chrome 85 oder höher MacOS 10.15.7 TouchID

Extern (Yubikey)

Windows 10 Windows Hello

Extern (Yubikey)

Safari 14.02 oder höher MacOS 10.15.7 Extern (Yubikey)
Microsoft Edge Chromium 85 oder höher Windows 10 Windows Hello

Extern (Yubikey)

Firefox 81 oder höher Windows 10 Extern (Yubikey)

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ Verwalten > Authentifizierungsmethoden aus.
    1. Klicken Sie in der Zeile FIDO2 auf das Bleistiftsymbol.
    2. Konfigurieren Sie die FIDO2-Einstellungen.
      Option Bezeichnung
      FIDO-Adapter aktivieren Aktivieren Sie die FIDO2 Authentifizierungsmethode im integrierten Identitätsanbieter des Diensts.
      Registrierung während der Anmeldung aktivieren Standardmäßig aktiviert. Wenn ein Benutzer zum ersten Mal versucht, sich anzumelden, wenn die FIDO2-Authentifizierung aktiviert ist, werden die Benutzer aufgefordert, ihren FIDO2-Authentifizierer zu registrieren.
      Maximale Authentifizierungsversuche Gibt an, wie oft ein Benutzer versuchen kann, sich zu authentifizieren, bevor er eine „Zugriff verweigert“-Meldung erhält.
      Einstellung für die Übermittlung von Nachweisen

      Die vom Authentifizierer zurückgegebenen Nachweisdaten enthalten Informationen, die zur Verfolgung von Benutzern verwendet werden können. Mit dieser Option kann der Workspace ONE Access-Server angeben, wie wichtig die Nachweisdaten für das FIDO2-Registrierungsereignis sind.

      • Ohne. Der Standardwert. Dieser Wert gibt an, dass die zugrunde liegende Drittanbieteranwendung nicht an einem Authentifizierernachweis interessiert ist.
      • Indirekt. Dieser Wert gibt an, dass die zugrunde liegende Drittanbieteranwendung eine Übermittlung von Nachweisen bevorzugt, die überprüfbare Nachweisanweisungen liefert, aber dem Client ermöglicht, zu entscheiden, wie solche Nachweisanweisungen abgerufen werden.
      • Direkt. Dieser Wert gibt an, dass die zugrunde liegende Drittanbieteranwendung die vom Authentifizierer generierte Anweisung erhalten möchte.
        Hinweis: Wenn die Einstellung für die Übermittlung von Nachweisen „Direkt“ oder „Indirekt“ lautet, funktioniert der TouchID-Authentifizierer nicht.
      Einstellung zur Benutzerüberprüfung Konfigurieren Sie, wie die Benutzerüberprüfung behandelt werden soll.

      Erforderlich ist der Standardwert. Diese Option bietet die höchste Sicherheit.

      • Nicht empfohlen. Dieser Wert gibt an, dass die zugrunde liegende Drittanbieteranwendung nicht möchte, dass die Benutzerüberprüfung während der Authentifizierung verwendet wird.
      • Bevorzugt. Dieser Wert gibt an, dass die zugrunde liegende Drittanbieteranwendung, falls möglich, die Benutzerüberprüfung bevorzugt, der Vorgang jedoch nicht fehlschlägt, wenn für die Antwort das UV-Flag nicht festgelegt ist.
      • Erforderlich. Der Standardwert. Dieser Wert gibt an, dass die zugrunde liegende Drittanbieteranwendung eine Benutzerüberprüfung für den Vorgang erfordert und der Vorgang fehlschlägt, wenn für die Antwort das UV-Flag nicht festgelegt ist.
      Einstellung für den Authentifizierertyp

      Wählen Sie Plattformübergreifend aus, wenn Administratoren Benutzer registrieren. Wählen Sie eine Plattform aus, wenn Benutzer Geräte registrieren. Wählen Sie Alle aus, um beide Optionen zu verwenden.

      • Plattform. Authentifizierer, die an ein Gerät angeschlossen sind. Beispiel: ein Laptop, auf dem Windows Hello ausgeführt wird.
      • Plattformübergreifend. Authentifizierer, die austauschbar und plattformübergreifend sind. Beispiel: ein YubiKey. Diese Authentifizierer können auf mehreren Geräten verwendet werden.
      • Alle
      Zeitüberschreitung bei der Authentifizierung in Sekunden Geben Sie die Zeit in Sekunden ein, um auf eine Antwort zu warten, bevor die Anforderung abläuft. Die empfohlene Zeit beträgt 180 Sekunden (3 Minuten).
      Aktionstyp (optional)

      Sie können Einschränkungen für Benutzer konfigurieren, um bestimmte FIDO2-Sicherheitsschlüssel basierend auf ihrer AAGUID zuzulassen oder bestimmte FIDO-Sicherheitsschlüssel basierend auf ihrer AAGUID zu zu blockieren.

      Wenn Sie einen Aktionstyp ausgewählt haben, konfigurieren Sie die zu verwaltende Liste der Authentifizierer-AAGUIDs.

      Authentifizierer-Liste der AAGUIDs

      Wenn Sie einen Aktionstyp ausgewählt haben, listen Sie die AAGUID für den FIDO2-Sicherheitsschlüssel aller Typen von Authentifizierer auf, die Sie zulassen oder blockieren möchten.

      Jeder Authentifizierer sollte während der Registrierung eine AAGUID (Authenticator Attestation GUID, Authentifizierungs-Nachweis-GUID) bereitstellen. Eine AAGUID ist ein 128-Bit-Bezeichner, der den Typ angibt, z. B. „make“ und „model“ des Authentifizierers.

      Die AAGUID wird als Zeichenfolge dargestellt (z. B. 7a98c250-6808-11cf-b73b-00aa00b677a7), die aus 5 hexadezimalen Zeichenfolgen besteht, die durch einen Bindestrich (-) getrennt sind.

    3. Klicken Sie auf Speichern.
  2. Navigieren Sie zu Verwalten > Identitätsanbieter und wählen Sie den integrierten Identitätsanbieter aus, den Sie bereits konfiguriert haben.
    1. Wählen Sie im Abschnitt Authentifizierungsmethoden die Option FIDO2 aus.
    2. Klicken Sie auf Speichern.

Nächste Maßnahme

Erstellen Sie unter „Richtlinien“ eine FIDO2-Registrierungsrichtlinienregel und eine FIDO2-Authentifizierungsrichtlinienregel.