Per configurare l'autenticazione FIDO2 nel servizio Workspace ONE Access, abilitare l'autenticazione FIDO2, configurare le impostazioni di FIDO2 e abilitare FIDO2 nel provider di identità integrato. Configurare quindi le regole dei criteri di accesso per l'autenticazione con FIDO2.
L'autenticazione FIDO2 è disponibile per accedere alle app Web tramite l’app Workspace ONE Intelligent Hub e il portale Web Hub.
Prerequisiti
Requisiti di sistema
| Browser | Sistema operativo | Tipo di autenticatore |
|---|---|---|
| Google Chrome 85 o versioni successive | MacOS 10.15.7 | TouchID Esterno (YubiKey) |
| Windows 10 | Windows Hello Esterno (YubiKey) |
|
| Safari 14.02 o versioni successive
Nota: Al momento, gli utenti non possono registrare l'autenticatore FIDO2 dal browser Web Safari a causa di una recente modifica apportata da Apple. Gli utenti possono utilizzare un altro browser supportato per registrare l'autenticatore FIDO2 per la prima volta. Dopo averlo registrato, gli utenti possono accedere con l'autenticatore da Safari.
|
MacOS 10.15.7 | Esterno (YubiKey) |
| Microsoft Edge Chromium 85 o versioni successive | Windows 10 | Windows Hello Esterno (YubiKey) |
| Firefox 81 o versioni successive | Windows 10 | Esterno (YubiKey) |
Procedura
- Nella pagina della console di Workspace ONE Access, selezionare FIDO2.
- Fare clic su Configura e configurare le impostazioni FIDO2.
Opzione Descrizione Abilita adattatore FIDO2 Abilitare l'autenticazione FIDO2 nel provider di identità integrato nel servizio. Abilita registrazione durante l'accesso Abilitata per impostazione predefinita. La prima volta che un utente tenta di accedere quando è abilitata l'autenticazione FIDO2, gli viene chiesto di registrare l'autenticatore FIDO2. Se si intende configurare la chiave di sicurezza direttamente nella console di Workspace ONE Access nella pagina è possibile disabilitare questa impostazione.
Numero massimo tentativi di autenticazione Numero di volte per cui un utente può tentare l'autenticazione prima di ricevere un messaggio di accesso negato. Preferenza trasmissione attestazione I dati dell'attestazione restituiti dall'autenticatore hanno informazioni che possono essere utilizzate per tenere traccia degli utenti. Questa opzione consente al server di Workspace ONE Access di indicare quanto sono importanti i dati dell'attestazione per l'evento di registrazione FIDO2.
- nessuna. Questo valore indica che la relying party non è interessata all'attestazione dell'autenticatore. Nessuna è il valore consigliato da impostare.
- indiretta. Questo valore indica che la relying party preferisce una trasmissione dell'attestazione che dia la precedenza a istruzioni di attestazione verificabili, ma consente al client di decidere come ottenere tali istruzioni di attestazione.
- diretta. Impostazione predefinita. Questo valore indica che la relying party desidera ricevere l'istruzione di attestazione come viene generata dall'autenticatore.
Nota: Se la preferenza di trasmissione dell'attestazione è diretta o indiretta, l'autenticatore TouchID non funziona.
Preferenza verifica utente Configurare la modalità di gestione della verifica utente. Obbligatoria è il valore predefinito. Questa opzione offre la massima sicurezza.
- Sconsigliata. Questo valore indica che la relying party non desidera che la verifica utente venga utilizzata durante l'autenticazione.
- Preferita. Questo valore indica che la relying party preferisce la verifica utente se possibile, ma farà in modo che l'operazione venga eseguita comunque anche se per la risposta non è impostato il contrassegno UV.
- Obbligatoria. Impostazione predefinita. Questo valore indica che la relying party richiede la verifica utente per l'operazione e fa in modo che l'operazione non riesca se per la risposta non è impostato il contrassegno UV.
Preferenza tipo di autenticatore Selezionare multipiattaforma se gli amministratori stanno registrando gli utenti. Selezionare piattaforma se gli utenti stanno registrando i dispositivi. Selezionare tutte per utilizzare entrambe le opzioni.
- piattaforma. Autenticatori collegati a un dispositivo. Ad esempio un laptop che esegue Windows Hello.
- multipiattaforma. Autenticatori rimovibili e multipiattaforma. Ad esempio, YubiKey. Questi autenticatori possono essere utilizzati su più dispositivi.
- tutte
Timeout autenticazione in secondi Immettere il tempo di attesa di una risposta (in secondi) prima che la richiesta scada. Il valore consigliato è 180 secondi (3 minuti). Tipo di azione (facoltativo) È possibile configurare restrizioni per gli utenti per consentire chiavi di sicurezza FIDO2 specifiche in base al loro AAGUID o per bloccare chiavi di sicurezza FIDO2 specifiche in base al loro AAGUID.
Se si seleziona un tipo di azione, configurare l'Elenco di AAGUID autenticatore da gestire.
Blocca è il valore consigliato da impostare.
Elenco di AAGUID autenticatore Elencare l'AAGUID della chiave di sicurezza FIDO2 di tutti i tipi di autenticatori che si desidera consentire o bloccare.
Ogni autenticatore deve fornire un AAGUID (Authenticator Attestation GUID) durante la registrazione. Un AAGUID è un identificatore a 128 bit che indica il tipo, ad esempio la marca e il modello dell'autenticatore.
L'AAGUID è rappresentato come stringa, ad esempio
7a98c250-6808-11cf-b73b-00aa00b677a7, costituita da 5 stringhe esadecimali separate da un trattino (-). - Fare clic su SALVA.
- Fare clic su Configura e configurare le impostazioni FIDO2.
- Passare alla pagina e selezionare il provider di identità integrato che è già stato configurato.
- Nella sezione Metodi di autenticazione, selezionare FIDO2.
- Fare clic su Salva.
Operazioni successive
Creare una regola del criterio di registrazione FIDO2 e una regola del criterio di autenticazione FIDO2 in Criteri. Vedere Creazione dei criteri di autenticazione FIDO2 in Workspace ONE Access (solo cloud).
