Para configurar la autenticación FIDO2 en el servicio de Workspace ONE Access, habilite la autenticación FIDO2, configure las opciones de FIDO2 que procedan y habilite FIDO2 en el proveedor de identidades integrado. Posteriormente, configure las reglas de la directiva de acceso para autenticarse con FIDO2.

La autenticación FIDO2 solo está disponible para acceder a aplicaciones web a través del portal web de Workspace ONE Intelligent Hub.

Requisitos previos

Requisitos del sistema

Navegador Sistema operativo Tipo de autenticador
Google Chrome 85 o versiones posteriores MacOS 10.15.7 TouchID

Externo (Yubikey)

Windows 10 Windows Hello

Externo (Yubikey)

Safari 14.02 o versiones posteriores
Nota: Actualmente, los usuarios no pueden registrar su autenticador FIDO2 desde el navegador web Safari, debido a un cambio reciente llevado a cabo por Apple. Los usuarios pueden utilizar otro navegador compatible para registrar su autenticador FIDO2 por primera vez. Después de registrar el autenticador, los usuarios pueden iniciar sesión con el autenticador desde Safari.
MacOS 10.15.7 Externo (Yubikey)
Microsoft Edge Chromium 85 o versiones posteriores Windows 10 Windows Hello

Externo (Yubikey)

Firefox 81 o versiones posteriores Windows 10 Externo (Yubikey)

Procedimiento

  1. En la página Integraciones > Métodos de autenticación de la consola de Workspace ONE Access, seleccione FIDO2.
    1. Haga clic en CONFIGURAR y configure los ajustes de FIDO2.
      Opción Descripción
      Habilitar el adaptador FIDO2 Sirve para habilitar la autenticación FIDO2 en el proveedor de identidades integrado en el servicio.
      Habilitar el registro durante el inicio de sesión Opción habilitada de forma predeterminada. La primera vez que un usuario intenta iniciar sesión cuando la autenticación FIDO2 está habilitada, se le pedirá que registre su autenticador FIDO2.
      Número máximo de intentos de autenticación Número de veces que un usuario puede intentar autenticarse antes de recibir un mensaje de acceso denegado.
      Preferencia de transferencia de atestación

      Los datos de atestación devueltos por el autenticador contienen información que se puede utilizar para realizar un seguimiento de los usuarios. Esta opción permite al servidor de Workspace ONE Access indicar el nivel de importancia de los datos de atestación para el evento de registro de FIDO2.

      • ninguno. Es el valor predeterminado. Este valor indica que el usuario de confianza no está interesado en la atestación del autenticador.
      • indirecto. Este valor indica que el usuario de confianza prefiere un medio de traslado de la atestación que presente declaraciones de atestación verificables, pero deja que sea el cliente el que decida cómo obtener dichas declaraciones de atestación.
      • directo. Este valor indica que el usuario de confianza desea recibir la declaración de atestación generada por el autenticador.
        Nota: Si la preferencia de traslado de la atestación es directa o indirecta, el autenticador TouchID no funciona.
      Preferencia de verificación de usuario Configure cómo desea que se controle la verificación de usuarios.

      El valor predeterminado es Requerido. Esta opción ofrece la máxima seguridad.

      • prescindible. Este valor indica que el usuario de confianza no desea que se utilice la verificación del usuario durante la autenticación.
      • preferido. Este valor indica que el usuario de confianza prefiere la verificación del usuario si es posible, pero no se producirá un error en la operación si la respuesta no tiene establecida la marca de verificación del usuario.
      • requerido. Es el valor predeterminado. Este valor indica que el usuario de confianza requiere la verificación del usuario en la operación, y se producirá un error en la operación si la respuesta no tiene establecida la marca de verificación del usuario.
      Preferencia de tipo de autenticador

      Seleccione multiplataforma si los administradores registran usuarios. Seleccione plataforma si los usuarios registran dispositivos. Seleccione todo para utilizar ambas opciones.

      • plataforma. Autenticadores conectados a un dispositivo. Por ejemplo, un portátil con Windows Hello.
      • multiplataforma. Autenticadores que se pueden extraer y usar en varias plataformas. Por ejemplo, una llave YubiKey. Estos autenticadores se pueden utilizar en varios dispositivos.
      • todo
      Tiempo de espera de autenticación en segundos Introduzca el tiempo en segundos para la espera de una respuesta antes de que caduque la solicitud. El tiempo recomendado es 180 segundos (3 minutos).
      Tipo de acción (opcional)

      Puede configurar restricciones para que los usuarios permitan el uso de claves de seguridad de FIDO2 específicas basadas en su AAGUID, o bien bloqueen el uso de claves de seguridad FIDO específicas basadas en su AAGUID.

      Si seleccionó un tipo de acción, configure la lista de autenticadores de AAGUID que administrar.

      Lista de autenticadores de AAGUID

      Si seleccionó un tipo de acción, incluya en esta lista los AAGUID de clave de seguridad FIDO2 de todos los tipos de autenticadores que quiera permitir o bloquear.

      Cada autenticador debe proporcionar un GUID de atestación de autenticación (AAGUID) durante el registro. Un AAGUID es un identificador de 128 bits que señala el tipo, por ejemplo, la marca y el modelo del autenticador.

      El AAGUID se representa como una cadena, por ejemplo, 7a98c250-6808-11cf-b73b-00aa00b677a7, consistente en 5 cadenas hexadecimales separadas por un guión (-).

    2. Haga clic en GUARDAR.
  2. Vaya a la página Integraciones > Proveedor de identidades y seleccione el proveedor de identidades integrado que ya ha configurado.
    1. En la sección Métodos de autenticación, seleccione FIDO2.
    2. Haga clic en Guardar.

Qué hacer a continuación

Cree una regla de directiva de registro de FIDO2 y una regla de directiva de autenticación de FIDO2 en Directivas.