Pour configurer l'authentification FIDO2 dans le service Workspace ONE Access, activez l'authentification FIDO2, configurez les paramètres FIDO2 et activez FIDO2 dans le fournisseur d'identité intégré. Vous pouvez configurer ensuite les règles de stratégie d'accès pour vous authentifier sur FIDO2.

L'authentification FIDO2 n'est disponible que pour accéder aux applications Web via le portail Web de Workspace Intelligent Hub.

Conditions préalables

Configuration système requise

Navigateur Système d'exploitation Type d'authentificateur
Google Chrome 85 ou une version ultérieure MacOS 10.15.7 TouchID

Externe (Yubikey)

Windows 10 Windows Hello

Externe (Yubikey)

Safari 14.02 ou une version ultérieure MacOS 10.15.7 Externe (Yubikey)
Microsoft Edge Chromium 85 ou une version ultérieure Windows 10 Windows Hello

Externe (Yubikey)

Firefox 81 ou une version ultérieure Windows 10 Externe (Yubikey)

Procédure

  1. Dans l'onglet Gestion des identités et des accès de la console Workspace ONE Access, accédez à Gérer > Méthodes d'authentification.
    1. Dans la ligne FIDO2, cliquez sur l'icône en forme de crayon.
    2. Configurez les paramètres FIDO2.
      Option Description
      Activer l'adaptateur FIDO Activez l'authentification FIDO2 sur le fournisseur d'identité intégré du service.
      Activer l'enregistrement lors de la connexion Activé par défaut. La première fois qu'un utilisateur tente de se connecter lorsque l'authentification FIDO2 est activée, les utilisateurs sont invités à enregistrer leur authentificateur FIDO2.
      Nombre maximal de tentatives d'authentification Nombre de tentatives d'authentification d'un utilisateur avant qu'il ne reçoive un message d'accès refusé.
      Préférence de transfert d'attestation

      Les données d'attestation renvoyées par l'authentificateur disposent d'informations pouvant être utilisées pour le suivi des utilisateurs. Cette option permet au serveur Workspace ONE Access d'indiquer l'importance des données d'attestation pour l'événement d'enregistrement FIDO2.

      • aucune. Valeur par défaut. Cette valeur indique que la partie de confiance n'est pas intéressée par l'attestation de l'authentificateur.
      • indirecte. Cette valeur indique que la partie de confiance préfère un transfert d'attestation qui produit des déclarations d'attestations vérifiables, mais qui permet au client de décider comment obtenir ces dernières.
      • directe. Cette valeur indique que la partie de confiance souhaite recevoir la déclaration d'attestation telle que générée par l'authentificateur.
        Note : Si la préférence de transfert d'attestation est directe ou indirecte, l'authentificateur TouchID ne fonctionne pas.
      Préférence de vérification de l'utilisateur Configurez la procédure de gestion souhaitée pour la vérification de l'utilisateur.

      Obligatoire est la valeur par défaut. Cette option propose le niveau de sécurité le plus élevé.

      • déconseillée. Cette valeur indique que la partie de confiance ne souhaite pas l'utilisation de la vérification de l'utilisateur lors de l'authentification.
      • préférée. Cette valeur indique que la partie de confiance préfère la vérification de l'utilisateur si possible, mais ne fera pas échouer l'opération si l'indicateur UV n'est pas défini pour la réponse.
      • obligatoire. Valeur par défaut. Cette valeur indique que la partie de confiance exige la vérification de l'utilisateur pour l'opération et fait échouer celle-ci si l'indicateur UV n'est pas défini pour la réponse.
      Préférence de type d'authentificateur

      Sélectionnez multiplateforme si les administrateurs enregistrent des utilisateurs. Sélectionnez la plate-forme si les utilisateurs enregistrent des terminaux. Sélectionnez toutes pour utiliser les deux options.

      • plate-forme. Authentificateurs associés à un terminal. Par exemple, un ordinateur portable exécutant Windows Hello.
      • multiplateforme. Authentificateurs amovibles et multiplateforme. Par exemple, YubiKey. Vous pouvez utiliser ces authentificateurs sur plusieurs terminaux.
      • toutes
      Délai d'expiration de l'authentification en secondes Entrez le délai d'attente d'une réponse en secondes avant l'expiration de la demande. Le délai recommandé est de 180 secondes (3 minutes).
      Type d'action (facultatif)

      Vous pouvez configurer des restrictions pour que les utilisateurs autorisent des clés de sécurité FIDO2 spécifiques basées sur leur AAGUID ou bloquent des clés de sécurité FIDO spécifiques basées sur leur AAGUID.

      Si vous avez sélectionné un type d'action, configurez la Liste d'AAGUID des authentificateurs à gérer.

      Liste d'AAGUID des authentificateurs

      Si vous avez sélectionné un type d'action, répertoriez l'AAGUID de la clé de sécurité FIDO2 de tous les types d'authentificateurs que vous souhaitez autoriser ou bloquer.

      Chaque authentificateur doit fournir un GUID d'attestation d'authentificateur (AAGUID) lors de l'enregistrement. Un AAGUID est un identifiant de 128 bits qui indique le type, par exemple la marque et le modèle de l'authentificateur.

      L'AAGUID est représenté par une chaîne, par exemple 7a98c250-6808-11cf-b73b-00aa00b677a7, composée de 5 chaînes hexadécimales, séparées par un tiret (-).

    3. Cliquez sur Enregistrer.
  2. Accédez à Gérer > Fournisseurs d'identité, puis sélectionnez le fournisseur d'identité intégré que vous avez déjà configuré.
    1. Dans la section Méthodes d'authentification, sélectionnez FIDO2.
    2. Cliquez sur Enregistrer.

Que faire ensuite

Créez une règle de stratégie d'enregistrement FIDO2 et une règle de stratégie d'authentification FIDO2 dans Stratégies.