La autenticación FIDO2 proporciona un método de autenticación sin contraseña muy seguro que se puede habilitar en el servicio de Workspace ONE Access. FIDO2 permite a los usuarios autenticarse mediante autenticadores externos (como claves de seguridad USB) o autenticadores de plataforma (como TouchID o Windows Hello).

Nota: Actualmente, el método de autenticación FIDO2 solo admite la autenticación en navegadores de escritorio.

Cuando FIDO2 está habilitado, los usuarios pueden registrar sus propios autenticadores. En la consola de Workspace ONE Access se pueden administrar autenticadores en nombre de los usuarios.

Registro de usuarios de FIDO2

Para utilizar la autenticación FIDO2 sin contraseña, los usuarios deben registrar su autenticador. Cuando se registran, el autenticador crea un par de claves. La clave privada se guarda en el dispositivo o en un hardware o software externo, mientras que la clave pública se registra en el servicio de Workspace ONE Access.

El registro de FIDO2 se habilita en la consola de Workspace ONE Access al configurar la autenticación FIDO2. Hay que crear una regla de registro de la directiva de acceso que obligue a los usuarios a registrar su propio autenticador de FIDO2 antes de que puedan autenticarse a través del servicio de Workspace ONE Access. La primera vez que los usuarios inicien sesión para acceder a una aplicación que requiera autenticación FIDO2, se les pedirá que registren su autenticador de FIDO2.

  1. Los usuarios navegan al catálogo de Hub en un navegador de su escritorio y seleccionan una aplicación web que requiera autenticación FIDO2.
  2. Si no hay un autenticador de FIDO2 registrado del usuario, este deberá hacer clic en Registrar su autenticador de FIDO2 en la pantalla de inicio de sesión.
  3. Se incentiva al usuario a autenticarse con un método de autenticación de Workspace ONE Access, como un nombre de usuario y una contraseña.
  4. Cuando el usuario se autentica, aparece la pantalla de registro de autenticador del navegador, donde debe realizar el registro.

Los usuarios pueden registrar hasta diez autenticadores.

Una vez registrados los usuarios, estos utilizarán su autenticador (como sensores de huella digital, reconocimiento facial o una clave de seguridad USB con FIDO2 habilitado) para desbloquear la clave privada del usuario con el fin de verificar sus credenciales y autenticarlo. No se necesita ninguna otra autenticación.

Administrar el registro de FIDO2 de usuarios en el servicio de Workspace ONE Access

Cuando los usuarios registran su autenticador, la información de autenticador correspondiente se configura en el perfil de usuario, en la página Cuentas > Usuario de la consola de Workspace ONE Access. Para ver la configuración de FIDO2, seleccione el nombre de usuario y abra la pestaña Autenticación en dos fases.

Los autenticadores de FIDO2 se pueden administrar, incluidos los procedimientos para agregarlos y eliminarlos.

Un autenticador de usuario también se puede bloquear. Si el autenticador de un usuario está bloqueado, se debe desbloquear desde la consola. Los usuarios no pueden desbloquear su autenticador.

También puede cambiar el nombre del tipo de autenticador para proporcionar un nombre más descriptivo.