L'authentification FIDO2 fournit une méthode forte d'authentification sans mot de passe que vous pouvez activer dans le service Workspace ONE Access. FIDO2 permet aux utilisateurs de s'authentifier à l'aide d'authentificateurs externes tels que des clés de sécurité USB ou des authentificateurs de plate-forme tels que TouchID ou Windows Hello.
Lorsque FIDO2 est activé, les utilisateurs peuvent enregistrer eux-mêmes leurs propres authentificateurs. Vous pouvez gérer les authentificateurs au nom des utilisateurs dans la console Workspace ONE Access.
Enregistrement d'utilisateurs FIDO2
Pour utiliser l'authentification FIDO2 sans mot de passe, les utilisateurs doivent enregistrer leur authentificateur. Lorsqu'ils l'enregistrent, l'authentificateur crée une clé d'accès privée et publique. La clé privée est enregistrée sur le terminal ou sur un composant matériel ou logiciel externe. La clé publique est alors enregistrée dans le service Workspace ONE Access.
Vous pouvez activer l'enregistrement FIDO2 dans la console Workspace ONE Access lorsque vous configurez l'authentification FIDO2. Créez une règle d'enregistrement de stratégie d'accès qui oblige les utilisateurs à enregistrer leur authentificateur FIDO2 avant de pouvoir s'authentifier via le service Workspace ONE Access. La première fois que les utilisateurs se connectent pour accéder à une application qui nécessite l'authentification FIDO2, ils sont invités à enregistrer leur authentificateur FIDO2.
- Les utilisateurs accèdent au catalogue d'applications du Hub et sélectionnent une application Web qui requiert l'authentification FIDO2.
- Si un authentificateur FIDO2 n'est pas enregistré pour l'utilisateur, celui-ci peut cliquer sur Enregistrer votre authentificateur FIDO2 dans l'écran de connexion.
- L'utilisateur est promu pour s'authentifier avec une méthode d'authentification Workspace ONE Access configurée, telle que le nom d'utilisateur et le mot de passe.
- Lorsque l'utilisateur est authentifié, l'écran d'enregistrement de l'authentificateur du navigateur s'affiche et ils peuvent terminer l'enregistrement.
Une fois que les utilisateurs sont enregistrés, ils peuvent utiliser leur authentificateur, comme des capteurs d'empreintes digitales, une reconnaissance faciale ou une clé de sécurité USB prenant en charge FIDO2 pour déverrouiller la clé privée de l'utilisateur afin de vérifier les informations d'identification de l'utilisateur et d'authentifier celui-ci. Aucune autre authentification n'est requise.
Les utilisateurs peuvent enregistrer jusqu'à dix authentificateurs.
Gestion de l'enregistrement FIDO2 des utilisateurs dans le service Workspace ONE Access
Lorsque les utilisateurs enregistrent leur authentificateur, les informations de celui-ci sont configurées dans le profil d'utilisateur sur la page Comptes > Utilisateurs et groupes de la console Workspace ONE Access. Pour afficher les paramètres FIDO2, sélectionnez le nom d'utilisateur et ouvrez l'onglet Authentification à deux facteurs.
Vous pouvez gérer les authentificateurs FIDO2, y compris l'ajout et la suppression d'authentificateurs.
Vous pouvez bloquer un authentificateur d'utilisateur. Dans ce cas, vous devez le débloquer à partir de la console. Les utilisateurs ne peuvent pas débloquer leur authentificateur.
Vous pouvez également renommer le type d'authentificateur pour donner un nom plus descriptif.