Die FIDO2-Authentifizierung bietet eine starke Methode für die Authentifizierung ohne Kennwort, die im Workspace ONE Access-Dienst aktiviert werden kann. FIDO2 ermöglicht Benutzern die Authentifizierung mithilfe von externen Authentifizierern wie USB-Sicherheitsschlüsseln oder Plattform-Authentifizierern wie TouchID oder Windows Hello.

Wenn FIDO2 aktiviert ist, können Benutzer ihre eigenen Authentifizierer selbst registrieren. Sie können Authentifizierer im Namen von Benutzern in der Workspace ONE Access-Konsole verwalten.

FIDO2-Benutzerregistrierung

Um die FIDO2-Authentifizierung ohne Kennwort verwenden zu können, müssen Benutzer ihren Authentifizierer registrieren. Bei der Registrierung erstellt der Authentifizierer einen privaten und einen öffentlichen Passkey. Der private Schlüssel wird auf dem Gerät oder auf einer externen Hardware oder Software gespeichert und der öffentliche Schlüssel wird im Workspace ONE Access-Dienst registriert.

Sie aktivieren die FIDO2-Registrierung in der Workspace ONE Access-Konsole, wenn Sie die FIDO2-Authentifizierung konfigurieren. Sie erstellen eine Registrierungsregel für die Zugriffsrichtlinie, nach der Benutzer ihren FIDO2-Authentifizierer registrieren müssen, bevor sie sich über Workspace ONE Access authentifizieren können. Wenn sich Benutzer das erste Mal anmelden, um auf eine App zuzugreifen, die FIDO2-Authentifizierung erfordert, werden sie aufgefordert, ihren FIDO2-Authentifizierer zu registrieren.

Hinweis: Die FIDO2-Benutzerregistrierung wird nur über Webbrowser unterstützt. Die Benutzerregistrierung über die Workspace ONE Hub-Clients wird nicht unterstützt.
  1. Benutzer navigieren zum Hub-App-Katalog und wählen eine Web-App aus, die zum Öffnen eine FIDO2-Authentifizierung erfordert.
  2. Wenn kein FIDO2-Authentifizierer für den Benutzer registriert ist, klickt der Benutzer im Anmeldebildschirm auf Registrieren Sie Ihren FIDO2-Authentifizierer.
    Hinweis: Benutzer müssen einen Webbrowser verwenden, um den FIDO2-Authentifizierer zu registrieren.
  3. Der Benutzer wird aufgefordert, sich mit einer konfigurierten Workspace ONE Access-Authentifizierungsmethode zu authentifizieren, z. B. mit Benutzername und Kennwort.
  4. Wenn der Benutzer authentifiziert ist, wird der Registrierungsbildschirm des Browser-Authentifizierers angezeigt und er schließt die Registrierung ab.

Nachdem die Benutzer registriert sind, verwenden sie ihren Authentifizierer, z. B. Fingerabdrucksensoren, Gesichtserkennung oder einen FIDO2-fähigen USB-Sicherheitsschlüssel, um den privaten Schlüssel des Benutzers zum Überprüfen der Anmeldeinformationen des Benutzers und zum Authentifizieren des Benutzers zu entsperren. Es ist keine weitere Authentifizierung erforderlich.

Benutzer können bis zu zehn Authentifizierer registrieren.

Verwalten der FIDO2-Registrierung von Benutzern im Workspace ONE Access-Dienst

Wenn Benutzer ihren Authentifizierer registrieren, werden die Authentifiziererinformationen im Benutzerprofil auf der Seite „Konten“ > „Benutzer“ in der Workspace ONE Access-Konsole konfiguriert. Um die FIDO2-Einstellungen anzuzeigen, wählen Sie den Benutzernamen aus und öffnen Sie die Registerkarte „Zwei-Faktor-Authentifizierung“.

Sie können die FIDO2-Authentifizierer verwalten, hinzufügen und löschen.

Sie können einen Benutzerauthentifizierer sperren. Wenn der Authentifizierer eines Benutzers gesperrt ist, müssen Sie ihn über die Konsole entsperren. Benutzer können die Sperrung ihres Authentifizierers nicht aufheben.

Sie können auch den Authentifizierertyp umbenennen, um einen aussagekräftigeren Namen zu erhalten.