若要在 Workspace ONE Access 服務中設定 FIDO2 驗證,請啟用 FIDO2 驗證、設定 FIDO2 設定,並在內建身分識別提供者中啟用 FIDO2。然後您即可設定存取原則規則,以透過 FIDO2 進行驗證。
FIDO2 驗證只能讓使用者透過 Workspace Intelligent Hub Web 入口網站存取 Web 應用程式。
必要條件
系統需求
瀏覽器 | 作業系統 | 驗證器類型 |
---|---|---|
Google Chrome 85 或更新版本 | MacOS 10.15.7 | TouchID 外部 (Yubikey) |
Windows 10 | Windows Hello 外部 (Yubikey) |
|
Safari 14.02 或更新版本
備註: 目前,由於最近 Apple 進行了變更,使用者無法從 Safari Web 瀏覽器註冊其 FIDO2 驗證器。使用者第一次可以使用其他支援的瀏覽器註冊其 FIDO2 驗證器。驗證器註冊後,使用者便可以從 Safari 登入驗證器。
|
MacOS 10.15.7 | 外部 (Yubikey) |
Microsoft Edge Chromium 85 或更新版本 | Windows 10 | Windows Hello 外部 (Yubikey) |
Firefox 81 或更新版本 | Windows 10 | 外部 (Yubikey) |
程序
- 在 Workspace ONE Access 主控台的 頁面中,選取 FIDO2
- 按一下設定,然後設定 FIDO2 設定。
選項 敘述 啟用 FIDO 介面卡 對服務的內建身分識別提供者啟用 FIDO2 驗證。 在登入期間啟用登錄 依預設為啟用。若已啟用 FIDO2 驗證,當使用者第一次嘗試登入時,系統會要求使用者登錄其 FIDO2 驗證器。 驗證嘗試次數上限 使用者在收到存取遭拒訊息之前可嘗試驗證的次數。 證明 Conveyance 喜好設定 驗證器所傳回的證明資料具有可用來追蹤使用者的資訊。此選項可讓 Workspace ONE Access 伺服器指出證明資料對 FIDO2 登錄事件的重要性。
- 無。預設值。此值表示信賴憑證者對驗證器證明不感興趣。
- 間接。此值表示信賴憑證者傾向於傳送可驗證證明聲明的證明轉移,但允許用戶端決定如何取得此類證明聲明。
- 直接。此值表示信賴憑證者想要接收驗證器所產生的證明聲明。
備註: 如果證明轉移喜好設定為直接或間接,則 TouchID 驗證器無法正常運作。
使用者驗證喜好設定 設定您想要以何種方式處理使用者驗證。 必要為預設值。此選項可提供最高的安全性。
- 已阻止。此值表示信賴憑證者不想要在驗證期間使用使用者驗證。
- 慣用。此值表示信賴憑證者傾向於在適用時使用使用者驗證,但在回應未設定 UV 旗標時,作業並不會失敗。
- 必要。預設值。此值表示信賴憑證者需要將使用者驗證用於作業,且若回應未設定 UV 旗標,作業將會失敗。
驗證器類型喜好設定 如果管理員登錄使用者,請選取跨平台。如果使用者登錄裝置,請選取平台。選取全部會同時使用這兩個選項。
- 平台。連結至裝置的驗證器。例如,執行 Windows Hello 的筆記型電腦。
- 跨平台。可移除且跨平台的驗證器。例如 YubiKey。這些驗證器可在多個裝置上使用。
- 全部
驗證逾時 (以秒為單位) 輸入要求到期之前的等待回應時間 (以秒為單位)。建議的時間為 180 秒 (3 分鐘)。 動作類型 (選用) 您可以根據使用者的 AAGUID 為使用者設定限制,以允許特定 FIDO2 安全性金鑰,或根據其 AAGUID 封鎖特定 FIDO 安全性金鑰。
如果您選取了動作類型,請設定驗證器的 AAGUID 清單以進行管理。
驗證器的 AAGUID 清單 如果您選取了動作類型,請針對您想要允許或封鎖的所有驗證器類型列出其 FIDO2 安全性金鑰 AAGUID。
每個驗證器均應在登錄期間提供驗證器證明 GUID (AAGUID)。AAGUID 是一個用來指出驗證器類型的 128 位元識別碼,例如驗證器的製造商和型號。
AAGUID 以字串表示,例如,
7a98c250-6808-11cf-b73b-00aa00b677a7
由 5 個十六進位字串組成,並以破折號 (-) 分隔。 - 按一下儲存。
- 按一下設定,然後設定 FIDO2 設定。
- 導覽至
頁面,然後選取您已設定的內建身分識別提供者。
- 在驗證方法區段中,選取 FIDO2。
- 按一下儲存。
下一步
在 [原則] 中建立 FIDO2 登錄原則規則和 FIDO2 驗證原則規則。