Pour configurer l'authentification FIDO2 dans le service Workspace ONE Access, activez l'authentification FIDO2, configurez les paramètres FIDO2 et activez FIDO2 dans le fournisseur d'identité intégré. Vous pouvez configurer ensuite les règles de stratégie d'accès pour vous authentifier sur FIDO2.

L'authentification FIDO2 est disponible pour accéder aux applications Web via le portail Web de l'application Workspace ONE Intelligent Hub et de Hub.

Note : FIDO2 en tant qu'authentificateur principal n'est pas pris en charge sur le navigateur Google Chrome sur les terminaux Android.

Conditions préalables

Configuration système requise

Navigateur Système d'exploitation Type d'authentificateur
Google Chrome 85 ou une version ultérieure MacOS 10.15.7 TouchID

Externe (Yubikey)
Windows 10 Windows Hello

Externe (Yubikey)
Safari 14.02 ou une version ultérieure
Note : Actuellement, les utilisateurs ne peuvent pas enregistrer leur authentificateur FIDO2 à partir du navigateur Web Safari en raison d'une modification récente d'Apple. Les utilisateurs peuvent utiliser un autre navigateur pris en charge pour enregistrer leur authentificateur FIDO2 pour la première fois. Une fois l'authentificateur enregistré, les utilisateurs peuvent se connecter avec l'authentificateur depuis Safari.
MacOS 10.15.7 Externe (Yubikey)
Microsoft Edge Chromium 85 ou une version ultérieure Windows 10 Windows Hello

Externe (Yubikey)
Firefox 81 ou une version ultérieure Windows 10 Externe (Yubikey)

Procédure

  1. Dans la console Workspace ONE Access, sur la page Intégrations > Méthodes d'authentification, sélectionnez FIDO2.
    1. Cliquez sur CONFIGURER et configurez les paramètres FIDO2.
      Option Description
      Activer l'adaptateur FIDO Activez l'authentification FIDO2 sur le fournisseur d'identité intégré du service.
      Activer l'enregistrement lors de la connexion Activé par défaut. La première fois qu'un utilisateur tente de se connecter lorsque l'authentification FIDO2 est activée, les utilisateurs sont invités à enregistrer leur authentificateur FIDO2.

      Si vous configurez la clé de sécurité directement sur la page Comptes > Utilisateurs de la console Workspace ONE Access, vous pouvez désactiver ce paramètre.
      Nombre maximal de tentatives d'authentification Nombre de tentatives d'authentification d'un utilisateur avant qu'il ne reçoive un message d'accès refusé.
      Préférence de transfert d'attestation

      Les données d'attestation renvoyées par l'authentificateur disposent d'informations pouvant être utilisées pour le suivi des utilisateurs. Cette option permet au serveur Workspace ONE Access d'indiquer l'importance des données d'attestation pour l'événement d'enregistrement FIDO2.

      • aucune. Cette valeur indique que la partie de confiance n'est pas intéressée par l'attestation de l'authentificateur. Aucun est la valeur recommandée à définir.
      • indirecte. Cette valeur indique que la partie de confiance préfère un transfert d'attestation qui produit des déclarations d'attestations vérifiables, mais qui permet au client de décider comment obtenir ces dernières.
      • directe. Valeur par défaut. Cette valeur indique que la partie de confiance souhaite recevoir la déclaration d'attestation telle que générée par l'authentificateur.
        Note : Si la préférence de transfert d'attestation est directe ou indirecte, l'authentificateur TouchID ne fonctionne pas.
      Préférence de vérification de l'utilisateur Configurez la procédure de gestion souhaitée pour la vérification de l'utilisateur.

      Obligatoire est la valeur par défaut. Cette option propose le niveau de sécurité le plus élevé.

      • déconseillée. Cette valeur indique que la partie de confiance ne souhaite pas l'utilisation de la vérification de l'utilisateur lors de l'authentification.
      • préférée. Cette valeur indique que la partie de confiance préfère la vérification de l'utilisateur si possible, mais ne fera pas échouer l'opération si l'indicateur UV n'est pas défini pour la réponse.
      • obligatoire. Valeur par défaut. Cette valeur indique que la partie de confiance exige la vérification de l'utilisateur pour l'opération et fait échouer celle-ci si l'indicateur UV n'est pas défini pour la réponse.
      Préférence de type d'authentificateur

      Sélectionnez multiplateforme si les administrateurs enregistrent des utilisateurs. Sélectionnez la plate-forme si les utilisateurs enregistrent des terminaux. Sélectionnez toutes pour utiliser les deux options.

      • plate-forme. Authentificateurs associés à un terminal. Par exemple, un ordinateur portable exécutant Windows Hello.
      • multiplateforme. Authentificateurs amovibles et multiplateforme. Par exemple, YubiKey. Vous pouvez utiliser ces authentificateurs sur plusieurs terminaux.
      • toutes
      Délai d'expiration de l'authentification en secondes Entrez le délai d'attente d'une réponse en secondes avant l'expiration de la demande. Le délai recommandé est de 180 secondes (3 minutes).
      Type d'action (facultatif)

      Vous pouvez configurer des restrictions pour que les utilisateurs autorisent des clés de sécurité FIDO2 spécifiques basées sur leur AAGUID ou bloquent des clés de sécurité FIDO spécifiques basées sur leur AAGUID.

      Si vous avez sélectionné un type d'action, configurez la Liste d'AAGUID des authentificateurs à gérer.

      Bloquer est la valeur recommandée à définir.

      Liste d'AAGUID des authentificateurs

      Répertoriez l'AAGUID de la clé de sécurité FIDO2 de tous les types d'authentificateurs que vous souhaitez autoriser ou bloquer.

      Chaque authentificateur doit fournir un GUID d'attestation d'authentificateur (AAGUID) lors de l'enregistrement. Un AAGUID est un identifiant de 128 bits qui indique le type, par exemple la marque et le modèle de l'authentificateur.

      L'AAGUID est représenté par une chaîne, par exemple 7a98c250-6808-11cf-b73b-00aa00b677a7, composée de 5 chaînes hexadécimales, séparées par un tiret (-).
    2. Cliquez sur ENREGISTRER.
      Page des paramètres FIDO2 recommandés pour Workspace ONE Access
  2. Accédez à la page Intégrations > Fournisseur d'identité, puis sélectionnez le fournisseur d'identité intégré que vous avez déjà configuré.
    1. Dans la section Méthodes d'authentification, sélectionnez FIDO2.
    2. Cliquez sur Enregistrer.

Que faire ensuite

Créez une règle de stratégie d'enregistrement FIDO2 et une règle de stratégie d'authentification FIDO2 dans Stratégies. Reportez-vous à la section Créer des stratégies d'authentification FIDO2 dans Workspace ONE Access (cloud uniquement).