La autenticación FIDO2 proporciona un método muy seguro de autenticación sin contraseña que se puede habilitar en el servicio de Workspace ONE Access. FIDO2 permite a los usuarios autenticarse mediante autenticadores externos (como claves de seguridad USB) o autenticadores de plataforma (como TouchID o Windows Hello).

Cuando FIDO2 está habilitado, los usuarios pueden registrar sus propios autenticadores. En la consola de Workspace ONE Access se pueden administrar autenticadores en nombre de los usuarios.

Registro de usuarios de FIDO2

Para utilizar la autenticación FIDO2 sin contraseña, los usuarios deben registrar su autenticador. Cuando realizan el registro, el autenticador crea una clave de acceso pública y privada. La clave privada se guarda en el dispositivo o en un hardware o software externo, mientras que la clave pública se registra en el servicio de Workspace ONE Access.

El registro de FIDO2 se habilita en la consola de Workspace ONE Access al configurar la autenticación FIDO2. Hay que crear una regla de registro de la directiva de acceso que obligue a los usuarios a registrar su propio autenticador de FIDO2 antes de que puedan autenticarse a través del servicio de Workspace ONE Access. La primera vez que los usuarios inicien sesión para acceder a una aplicación que requiera autenticación FIDO2, se les pedirá que registren su autenticador de FIDO2.

Nota: El registro de usuarios de FIDO2 solo se admite a través de navegadores web. No se admite el registro de usuarios a través de clientes de Workspace ONE Hub.
  1. Los usuarios se desplazan hasta el catálogo de aplicaciones de Hub y seleccionan una aplicación web que requiera la autenticación FIDO2 para abrirse.
  2. Si no hay un autenticador de FIDO2 registrado del usuario, este deberá hacer clic en Registrar su autenticador de FIDO2 en la pantalla de inicio de sesión.
    Nota: Los usuarios deben utilizar un navegador web para registrar el autenticador de FIDO2.
  3. Se incentiva al usuario a autenticarse con un método de autenticación de Workspace ONE Access, como un nombre de usuario y una contraseña.
  4. Cuando el usuario se autentica, aparece la pantalla de registro de autenticador del navegador, donde debe realizar el registro.

Una vez registrados los usuarios, estos utilizarán su autenticador (como sensores de huella digital, reconocimiento facial o una clave de seguridad USB con FIDO2 habilitado) para desbloquear la clave privada del usuario con el fin de verificar sus credenciales y autenticarlo. No se necesita ninguna otra autenticación.

Los usuarios pueden registrar hasta diez autenticadores.

Administrar el registro de FIDO2 de usuarios en el servicio de Workspace ONE Access

Cuando los usuarios registran su autenticador, la información de autenticador correspondiente se configura en el perfil de usuario, en la página Cuentas > Usuario de la consola de Workspace ONE Access. Para ver la configuración de FIDO2, seleccione el nombre de usuario y abra la pestaña Autenticación en dos fases.

Los autenticadores de FIDO2 se pueden administrar, incluidos los procedimientos para agregarlos y eliminarlos.

Un autenticador de usuario también se puede bloquear. Si el autenticador de un usuario está bloqueado, se debe desbloquear desde la consola. Los usuarios no pueden desbloquear su autenticador.

También puede cambiar el nombre del tipo de autenticador para proporcionar un nombre más descriptivo.