L'authentification FIDO2 fournit une méthode forte d'authentification sans mot de passe que vous pouvez activer dans le service Workspace ONE Access. FIDO2 permet aux utilisateurs de s'authentifier à l'aide d'authentificateurs externes tels que des clés de sécurité USB ou des authentificateurs de plate-forme tels que TouchID ou Windows Hello.

Note : La méthode d'authentification FIDO2 ne prend actuellement en charge que l'authentification dans les navigateurs de poste de travail.

Lorsque FIDO2 est activé, les utilisateurs peuvent enregistrer eux-mêmes leurs propres authentificateurs. Vous pouvez gérer les authentificateurs au nom des utilisateurs dans la console Workspace ONE Access.

Enregistrement d'utilisateurs FIDO2

Pour utiliser l'authentification FIDO2 sans mot de passe, les utilisateurs doivent enregistrer leur authentificateur. Lorsqu'ils effectuent l'enregistrement, l'authentificateur crée une paire de clés. La clé privée est enregistrée sur le terminal ou sur un composant matériel ou logiciel externe. La clé publique est alors enregistrée dans le service Workspace ONE Access.

Vous pouvez activer l'enregistrement FIDO2 dans la console Workspace ONE lorsque vous configurez l'authentification FIDO2. Vous pouvez créer une règle d'enregistrement de stratégie d'accès qui oblige les utilisateurs à enregistrer leur authentificateur FIDO2 avant de pouvoir s'authentifier via Workspace ONE Access. La première fois que les utilisateurs se connectent pour accéder à une application qui nécessite l'authentification FIDO2, ils sont invités à enregistrer leur authentificateur FIDO2.

  1. Les utilisateurs peuvent accéder au catalogue du Hub dans un navigateur sur leur poste de travail et sélectionner une application Web qui nécessite une authentification FIDO2.
  2. Si un authentificateur FIDO2 n'est pas enregistré pour l'utilisateur, l'utilisateur peut cliquer sur Enregistrer votre authentificateur FIDO2 dans l'écran de connexion.
  3. L'utilisateur est promu pour s'authentifier avec une méthode d'authentification Workspace ONE Access configurée, telle que le nom d'utilisateur et le mot de passe.
  4. Lorsque l'utilisateur est authentifié, l'écran d'enregistrement de l'authentificateur du navigateur s'affiche et ils peuvent terminer l'enregistrement.

Les utilisateurs peuvent enregistrer jusqu'à dix authentificateurs.

Une fois que les utilisateurs sont enregistrés, ils peuvent utiliser leur authentificateur, comme des capteurs d'empreintes digitales, une reconnaissance faciale ou une clé de sécurité USB prenant en charge FIDO2 pour déverrouiller la clé privée de l'utilisateur afin de vérifier les informations d'identification de l'utilisateur et d'authentifier celui-ci. Aucune autre authentification n'est requise.

Gestion de l'enregistrement FIDO2 des utilisateurs dans le service Workspace ONE Access

Lorsque les utilisateurs enregistrent leur authentificateur, les informations de celui-ci sont configurées dans le profil d'utilisateur sur la page Utilisateur > Utilisateurs et groupes de la console Workspace ONE Access. Pour afficher les paramètres FIDO2, ouvrez l'onglet Authentification à deux facteurs.

Vous pouvez gérer les authentificateurs FIDO2, y compris l'ajout et la suppression d'authentificateurs.

Vous pouvez bloquer un authentificateur d'utilisateur. Dans ce cas, vous devez le débloquer à partir de la console. Les utilisateurs ne peuvent pas débloquer leur authentificateur.

Vous pouvez également renommer le type d'authentificateur pour donner un nom plus descriptif.