Per configurare l'autenticazione FIDO2 nel servizio Workspace ONE Access, abilitare l'autenticazione FIDO2, configurare le impostazioni di FIDO2 e abilitare FIDO2 nel provider di identità integrato. Configurare quindi le regole dei criteri di accesso per l'autenticazione con FIDO2.

L'autenticazione FIDO2 è disponibile solo per accedere alle app Web tramite il portale Web di Workspace Intelligent Hub.

Prerequisiti

Requisiti di sistema

Browser Sistema operativo Tipo di autenticatore
Google Chrome 85 o versioni successive MacOS 10.15.7 TouchID

Esterno (YubiKey)

Windows 10 Windows Hello

Esterno (YubiKey)

Safari 14.02 o versioni successive MacOS 10.15.7 Esterno (YubiKey)
Microsoft Edge Chromium 85 o versioni successive Windows 10 Windows Hello

Esterno (YubiKey)

Firefox 81 o versioni successive Windows 10 Esterno (YubiKey)

Procedura

  1. Nella scheda Gestione identità e accessi della console di Workspace ONE Access, passare a Gestisci > Metodi di autenticazione.
    1. Nella riga FIDO2, fare clic sull'icona a forma di matita.
    2. Configurare le impostazioni di FIDO2.
      Opzione Descrizione
      Abilita adattatore FIDO2 Abilitare l'autenticazione FIDO2 nel provider di identità integrato nel servizio.
      Abilita registrazione durante l'accesso Abilitata per impostazione predefinita. La prima volta che un utente tenta di accedere quando è abilitata l'autenticazione FIDO2, gli viene chiesto di registrare l'autenticatore FIDO2.
      Numero massimo tentativi di autenticazione Numero di volte per cui un utente può tentare l'autenticazione prima di ricevere un messaggio di accesso negato.
      Preferenza trasmissione attestazione

      I dati dell'attestazione restituiti dall'autenticatore hanno informazioni che possono essere utilizzate per tenere traccia degli utenti. Questa opzione consente al server di Workspace ONE Access di indicare quanto sono importanti i dati dell'attestazione per l'evento di registrazione FIDO2.

      • nessuna. Impostazione predefinita. Questo valore indica che la relying party non è interessata all'attestazione dell'autenticatore.
      • indiretta. Questo valore indica che la relying party preferisce una trasmissione dell'attestazione che dia la precedenza a istruzioni di attestazione verificabili, ma consente al client di decidere come ottenere tali istruzioni di attestazione.
      • diretta. Questo valore indica che la relying party desidera ricevere l'istruzione di attestazione come viene generata dall'autenticatore.
        Nota: Se la preferenza di trasmissione dell'attestazione è diretta, l'autenticatore TouchID non funziona.
      Preferenza verifica utente Configurare la modalità di gestione della verifica utente.

      Obbligatoria è il valore predefinito. Questa opzione offre la massima sicurezza.

      • Sconsigliata. Questo valore indica che la relying party non desidera che la verifica utente venga utilizzata durante l'autenticazione.
      • Preferita. Questo valore indica che la relying party preferisce la verifica utente se possibile, ma farà in modo che l'operazione venga eseguita comunque anche se per la risposta non è impostato il contrassegno UV.
      • Obbligatoria. Impostazione predefinita. Questo valore indica che la relying party richiede la verifica utente per l'operazione e fa in modo che l'operazione non riesca se per la risposta non è impostato il contrassegno UV.
      Preferenza tipo di autenticatore

      Selezionare multipiattaforma se gli amministratori stanno registrando gli utenti. Selezionare piattaforma se gli utenti stanno registrando i dispositivi. Selezionare tutte per utilizzare entrambe le opzioni.

      • piattaforma. Autenticatori collegati a un dispositivo. Ad esempio un laptop che esegue Windows Hello.
      • multipiattaforma. Autenticatori rimovibili e multipiattaforma. Ad esempio, YubiKey. Questi autenticatori possono essere utilizzati su più dispositivi.
      • tutte
      Timeout autenticazione in secondi Immettere il tempo di attesa di una risposta (in secondi) prima che la richiesta scada. Il valore consigliato è 180 secondi (3 minuti).
      Tipo di azione (facoltativo)

      È possibile configurare restrizioni per gli utenti per consentire chiavi di sicurezza FIDO2 specifiche in base al loro AAGUID o per bloccare chiavi di sicurezza FIDO2 specifiche in base al loro AAGUID.

      Se si seleziona un tipo di azione, configurare l'Elenco di AAGUID autenticatore da gestire.

      Elenco di AAGUID autenticatore

      Se si seleziona un tipo di azione, elencare l'AAGUID della chiave di sicurezza FIDO2 di tutti i tipi di autenticatori che si desidera consentire o bloccare.

      Ogni autenticatore deve fornire un AAGUID (Authenticator Attestation GUID) durante la registrazione. Un AAGUID è un identificatore a 128 bit che indica il tipo, ad esempio la marca e il modello dell'autenticatore.

      L'AAGUID è rappresentato come stringa, ad esempio 7a98c250-6808-11cf-b73b-00aa00b677a7, costituita da 5 stringhe esadecimali separate da un trattino (-).

    3. Fare clic su Salva.
  2. Passare a Gestisci > Provider di identità e selezionare il provider di identità integrato che è già stato configurato.
    1. Nella sezione Metodi di autenticazione, selezionare FIDO2.
    2. Fare clic su Salva.

Operazioni successive

Creare una regola del criterio di registrazione FIDO2 e una regola del criterio di autenticazione FIDO2 in Criteri.