Чтобы настроить проверку подлинности FIDO2 в службе Workspace ONE Access, необходимо включить проверку подлинности FIDO2, настроить параметры FIDO2 и включить FIDO2 во встроенном поставщике удостоверений. Затем настраиваются правила политики доступа для проверки подлинности с помощью FIDO2.

Проверка подлинности FIDO2 доступна только для доступа к веб-приложениям через веб-портал Workspace Intelligent Hub.

Необходимые условия

Системные требования

Браузер Операционная система Тип проверки подлинности
Google Chrome 85 и более поздних версий MacOS 10.15.7 TouchID

Внешняя (Yubikey)

Windows 10 Windows Hello

Внешняя (Yubikey)

Safari 14.02 и более поз дних версий MacOS 10.15.7 Внешняя (Yubikey)
Microsoft Edge Chromium 85 или более поздних версий Windows 10 Windows Hello

Внешняя (Yubikey)

Firefox 81 и более поздних версий Windows 10 Внешняя (Yubikey)

Процедура

  1. В консоли Workspace ONE Access на вкладке «Управление учетными данными и доступом» выберите Управление > Методы проверки подлинности.
    1. а. В строке FIDO2 щелкните значок карандаша.
    2. б. Настройте параметры FIDO2.
      Опция Описание
      Включить адаптер FIDO Включите проверку подлинности FIDO2 во встроенном поставщике удостоверений службы.
      Включить регистрацию во время входа По умолчанию включено. Если включена проверка подлинности FIDO2, при первом входе пользователя в систему для пользователей будет предложено зарегистрировать свое средство проверки подлинности FIDO2.
      Максимальное количество попыток проверки подлинности Количество попыток проверки подлинности пользователя до получения сообщения о запрете доступа.
      Параметр передачи удостоверения

      Данные удостоверения, полученные из средства проверки подлинности, применяют информацию, которую можно использовать для отслеживания пользователей. Этот параметр позволяет серверу Workspace ONE Access указывать, насколько важны данные удостоверения для события регистрации FIDO2.

      • none. Параметр по умолчанию. Это значение указывает на то, что проверяющая сторона не заинтересована в удостоверении средства проверки подлинности.
      • indirect. Это значение указывает на то, что проверяющая сторона предпочитает передачу удостоверения с предоставлением достоверных сообщений о проверке, но позволяет клиенту решать, как получить такие сообщения о проверке.
      • direct. Это значение указывает на то, что проверяющей стороне необходимо получить утверждение о проверке в том виде, в котором его генерирует средство проверки подлинности.
        Примечание: Если для параметра передачи удостоверения выбрано значение direct, средство проверки подлинности TouchID не работает.
      Параметр проверки пользователей Настройте процедуру проверки пользователей.

      Required является значением по умолчанию. Это значение обеспечивает наивысший уровень безопасности.

      • discouraged. Это значение указывает на то, что проверяющей стороне не требуется применение проверки пользователей во время проверки подлинности пользователей.
      • preferred. Это значение указывает на то, что проверяющая сторона предпочитает проверку пользователей, если это возможно, но операция не будет считаться неудачной, если в ответе не будет задан флажок UV.
      • required. Параметр по умолчанию. Это значение указывает на то, что проверяющей стороне необходима проверка пользователей для операции, и операция будет считаться неудачной, если в ответе не будет задан флажок UV.
      Параметр типа средства проверки подлинности

      Выберите значение cross-platform, если администраторы регистрируют пользователей. Выберите значение «platform», если пользователи регистрируют устройства. Выберите значение all, чтобы использовать оба варианта.

      • platform. Средства проверки подлинности, подключенные к устройству. Например, ноутбук с ОС Windows Hello.
      • cross-platform. Съемные и межплатформенные средства проверки подлинности. Например, YubiKey. Эти средства проверки подлинности можно использовать на нескольких устройствах.
      • all
      Время ожидания проверки подлинности в секундах Введите время ожидания ответа до истечения срока действия запроса (в секундах). Рекомендованное время — 180 секунд (3 минуты).
      Тип действия (необязательно)

      Можно настроить ограничения для пользователей, чтобы разрешить (allow) определенные ключи безопасности FIDO2 на основе AAGUID или блокировать (block) определенные ключи безопасности FIDO на основе AAGUID.

      При выборе типа действия настройте для управления Список идентификаторов AAGUID средства проверки подлинности.

      Список идентификаторов AAGUID средства проверки подлинности

      Если выбран тип действия, укажите AAGUID ключа безопасности FIDO2 для всех типов средств проверки подлинности, которые необходимо разрешить или блокировать.

      Каждое средство проверки подлинности должно предоставить GUID удостоверения проверки подлинности (Authenticator Attestation GUID, AAGUID) во время регистрации. AAGUID — это 128-разрядный идентификатор, который указывает тип, например сборку и модель средства проверки подлинности.

      AAGUID представляется в виде строки, например 7a98c250-6808-11cf-b73b-00aa00b677a7, и состоит из 5 шестнадцатеричных строк, разделенных тире (-).

    3. в. Нажмите кнопку Сохранить.
  2. Перейдите в раздел Управление > Поставщики удостоверений и выберите встроенного поставщика удостоверений, который уже настроен.
    1. а. В разделе Методы проверки подлинности выберите FIDO2.
    2. б. Нажмите кнопку Сохранить.

Дальнейшие действия

Создайте правило политики регистрации FIDO2 и правило политики проверки подлинности FIDO2 в разделе «Политики».