Die FIDO2-Authentifizierung bietet eine starke Methode für die Authentifizierung ohne Kennwort, die im Workspace ONE Access-Dienst aktiviert werden kann. FIDO2 ermöglicht Benutzern die Authentifizierung mithilfe von externen Authentifizierern wie USB-Sicherheitsschlüsseln oder Plattform-Authentifizierern wie TouchID oder Windows Hello.

Hinweis: Die FIDO2-Authentifizierungsmethode unterstützt derzeit nur die Authentifizierung in Desktop-Browsern.

Wenn FIDO2 aktiviert ist, können Benutzer ihre eigenen Authentifizierer selbst registrieren. Sie können Authentifizierer im Namen von Benutzern in der Workspace ONE Access-Konsole verwalten.

FIDO2-Benutzerregistrierung

Um die FIDO2-Authentifizierung ohne Kennwort verwenden zu können, müssen Benutzer ihren Authentifizierer registrieren. Bei der Registrierung erstellt der Authentifizierer ein Schlüsselpaar. Der private Schlüssel wird auf dem Gerät oder auf einer externen Hardware oder Software gespeichert und der öffentliche Schlüssel wird im Workspace ONE Access-Dienst registriert.

Sie aktivieren die FIDO2-Registrierung in der Workspace ONE-Konsole, wenn Sie die FIDO2-Authentifizierung konfigurieren. Sie erstellen eine Registrierungsregel für die Zugriffsrichtlinie, nach der Benutzer ihren FIDO2-Authentifizierer registrieren müssen, bevor sie sich über Workspace ONE Access authentifizieren können. Wenn sich Benutzer das erste Mal anmelden, um auf eine App zuzugreifen, die FIDO2-Authentifizierung erfordert, werden sie aufgefordert, ihren FIDO2-Authentifizierer zu registrieren.

  1. Benutzer navigieren in einem Browser auf ihrem Desktop zum Hub-Katalog und wählen eine Web-App aus, für die eine FIDO2-Authentifizierung erforderlich ist.
  2. Wenn kein FIDO2-Authentifizierer für den Benutzer registriert ist, klickt der Benutzer im Anmeldebildschirm auf Registrieren Sie Ihren FIDO2-Authentifizierer.
  3. Der Benutzer wird aufgefordert, sich mit einer konfigurierten Workspace ONE Access-Authentifizierungsmethode zu authentifizieren, z. B. mit Benutzername und Kennwort.
  4. Wenn der Benutzer authentifiziert ist, wird der Registrierungsbildschirm des Browser-Authentifizierers angezeigt und er schließt die Registrierung ab.

Benutzer können bis zu zehn Authentifizierer registrieren.

Nachdem die Benutzer registriert sind, verwenden sie ihren Authentifizierer, z. B. Fingerabdrucksensoren, Gesichtserkennung oder einen FIDO2-fähigen USB-Sicherheitsschlüssel, um den privaten Schlüssel des Benutzers zum Überprüfen der Anmeldeinformationen des Benutzers und zum Authentifizieren des Benutzers zu entsperren. Es ist keine weitere Authentifizierung erforderlich.

Verwalten der FIDO2-Registrierung von Benutzern im Workspace ONE Access-Dienst

Wenn Benutzer ihren Authentifizierer registrieren, werden die Authentifiziererinformationen im Benutzerprofil auf der Seite „Benutzer“ > „Benutzer und Gruppen“ in der Workspace ONE Access-Konsole konfiguriert. Um die FIDO2-Einstellungen anzuzeigen, öffnen Sie die Registerkarte „Zwei-Faktor-Authentifizierung“.

Sie können die FIDO2-Authentifizierer verwalten, hinzufügen und löschen.

Sie können einen Benutzerauthentifizierer sperren. Wenn der Authentifizierer eines Benutzers gesperrt ist, müssen Sie ihn über die Konsole entsperren. Benutzer können die Sperrung ihres Authentifizierers nicht aufheben.

Sie können auch den Authentifizierertyp umbenennen, um einen aussagekräftigeren Namen zu erhalten.