Чтобы настроить проверку подлинности FIDO2 в службе Workspace ONE Access, необходимо включить проверку подлинности FIDO2, настроить параметры FIDO2 и включить FIDO2 во встроенном поставщике удостоверений. Затем настраиваются правила политики доступа для проверки подлинности с помощью FIDO2.
Проверка подлинности FIDO2 доступна для доступа к веб-приложениям через приложение Workspace ONE Intelligent Hub и веб-портал Hub.
Необходимые условия
Системные требования
Браузер | Операционная система | Тип проверки подлинности |
---|---|---|
Google Chrome 85 и более поздних версий | MacOS 10.15.7 | TouchID Внешняя (Yubikey) |
Windows 10 | Windows Hello Внешняя (Yubikey) |
|
Safari 14.02 и более поздних версий
Примечание: В настоящее время пользователи не могут зарегистрировать свое средство проверки подлинности FIDO2 в веб-браузере Safari из-за недавних изменений в Apple. Пользователи могут применять другой поддерживаемый браузер для первой регистрации средства проверки подлинности FIDO2. После регистрации средства проверки подлинности пользователи могут войти с помощью средства проверки подлинности из Safari.
|
MacOS 10.15.7 | Внешняя (Yubikey) |
Microsoft Edge Chromium 85 или более поздних версий | Windows 10 | Windows Hello Внешняя (Yubikey) |
Firefox 81 и более поздних версий | Windows 10 | Внешняя (Yubikey) |
Процедура
- В консоли Workspace ONE Access на странице выберите FIDO2.
- а. Нажмите Настроить и настройте параметры FIDO2.
Опция Описание Включить адаптер FIDO Включите проверку подлинности FIDO2 во встроенном поставщике удостоверений службы. Включить регистрацию во время входа По умолчанию включено. Если включена проверка подлинности FIDO2, при первом входе пользователя в систему для пользователей будет предложено зарегистрировать свое средство проверки подлинности FIDO2. Если вы планируете настроить ключ безопасности непосредственно в консоли Workspace ONE Access, то отключить эту настройку можно на странице .
Максимальное количество попыток проверки подлинности Количество попыток проверки подлинности пользователя до получения сообщения о запрете доступа. Параметр передачи удостоверения Данные удостоверения, полученные из средства проверки подлинности, применяют информацию, которую можно использовать для отслеживания пользователей. Этот параметр позволяет серверу Workspace ONE Access указывать, насколько важны данные удостоверения для события регистрации FIDO2.
- none. Это значение указывает на то, что проверяющая сторона не заинтересована в удостоверении средства проверки подлинности. Отсутствует является рекомендуемым значением для установки.
- indirect. Это значение указывает на то, что проверяющая сторона предпочитает передачу удостоверения с предоставлением достоверных сообщений о проверке, но позволяет клиенту решать, как получить такие сообщения о проверке.
- direct. Параметр по умолчанию. Это значение указывает на то, что проверяющей стороне необходимо получить утверждение о проверке в том виде, в котором его генерирует средство проверки подлинности.
Примечание: Если для параметра передачи удостоверения выбрано значение direct или indirect, средство проверки подлинности TouchID не работает.
Параметр проверки пользователей Настройте процедуру проверки пользователей. Required является значением по умолчанию. Это значение обеспечивает наивысший уровень безопасности.
- discouraged. Это значение указывает на то, что проверяющей стороне не требуется применение проверки пользователей во время проверки подлинности пользователей.
- preferred. Это значение указывает на то, что проверяющая сторона предпочитает проверку пользователей, если это возможно, но операция не будет считаться неудачной, если в ответе не будет задан флажок UV.
- required. Параметр по умолчанию. Это значение указывает на то, что проверяющей стороне необходима проверка пользователей для операции, и операция будет считаться неудачной, если в ответе не будет задан флажок UV.
Параметр типа средства проверки подлинности Выберите значение cross-platform, если администраторы регистрируют пользователей. Выберите значение «platform», если пользователи регистрируют устройства. Выберите значение all, чтобы использовать оба варианта.
- platform. Средства проверки подлинности, подключенные к устройству. Например, ноутбук с ОС Windows Hello.
- cross-platform. Съемные и межплатформенные средства проверки подлинности. Например, YubiKey. Эти средства проверки подлинности можно использовать на нескольких устройствах.
- all
Время ожидания проверки подлинности в секундах Введите время ожидания ответа до истечения срока действия запроса (в секундах). Рекомендованное время — 180 секунд (3 минуты). Тип действия (необязательно) Можно настроить ограничения для пользователей, чтобы разрешить (allow) определенные ключи безопасности FIDO2 на основе AAGUID или блокировать (block) определенные ключи безопасности FIDO на основе AAGUID.
При выборе типа действия настройте для управления Список идентификаторов AAGUID средства проверки подлинности.
Заблокировать является рекомендуемым значением для установки.
Список идентификаторов AAGUID средства проверки подлинности Укажите AAGUID ключа безопасности FIDO2 для всех типов средств проверки подлинности, которые необходимо разрешить или блокировать.
Каждое средство проверки подлинности должно предоставить GUID удостоверения проверки подлинности (Authenticator Attestation GUID, AAGUID) во время регистрации. AAGUID — это 128-разрядный идентификатор, который указывает тип, например сборку и модель средства проверки подлинности.
AAGUID представляется в виде строки, например
7a98c250-6808-11cf-b73b-00aa00b677a7
, и состоит из 5 шестнадцатеричных строк, разделенных тире (-). - б. Нажмите кнопку СОХРАНИТЬ.
- а. Нажмите Настроить и настройте параметры FIDO2.
- Перейдите в раздел
и выберите встроенного поставщика удостоверений, который уже настроен.
- а. В разделе Методы проверки подлинности выберите FIDO2.
- б. Нажмите кнопку Сохранить.
Дальнейшие действия
Создайте правило политики регистрации FIDO2 и правило политики проверки подлинности FIDO2 в разделе «Политики». См. Создание политик проверки подлинности FIDO2 в Workspace ONE Access (только в облачной версии).