若要在 Workspace ONE Access 服務中設定 FIDO2 驗證,請啟用 FIDO2 驗證、設定 FIDO2 設定,並在內建身分識別提供者中啟用 FIDO2。然後您即可設定存取原則規則,以透過 FIDO2 進行驗證。

FIDO2 驗證只能讓使用者透過 Workspace Intelligent Hub Web 入口網站存取 Web 應用程式。

必要條件

系統需求

瀏覽器 作業系統 驗證器類型
Google Chrome 85 或更新版本 MacOS 10.15.7 TouchID

外部 (Yubikey)

Windows 10 Windows Hello

外部 (Yubikey)

Safari 14.02 或更新版本 MacOS 10.15.7 外部 (Yubikey)
Microsoft Edge Chromium 85 或更新版本 Windows 10 Windows Hello

外部 (Yubikey)

Firefox 81 或更新版本 Windows 10 外部 (Yubikey)

程序

  1. Workspace ONE Access 主控台的 [身分識別與存取管理] 索引標籤中,移至管理 > 驗證方法
    1. FIDO2 列中,按一下鉛筆圖示
    2. 進行 FIDO2 設定。
      選項 敘述
      啟用 FIDO 介面卡 對服務的內建身分識別提供者啟用 FIDO2 驗證。
      在登入期間啟用登錄 依預設為啟用。若已啟用 FIDO2 驗證,當使用者第一次嘗試登入時,系統會要求使用者登錄其 FIDO2 驗證器。
      驗證嘗試次數上限 使用者在收到存取遭拒訊息之前可嘗試驗證的次數。
      證明 Conveyance 喜好設定

      驗證器所傳回的證明資料具有可用來追蹤使用者的資訊。此選項可讓 Workspace ONE Access 伺服器指出證明資料對 FIDO2 登錄事件的重要性。

      • 。預設值。此值表示信賴憑證者對驗證器證明不感興趣。
      • 間接。此值表示信賴憑證者傾向於傳送可驗證證明聲明的證明轉移,但允許用戶端決定如何取得此類證明聲明。
      • 直接。此值表示信賴憑證者想要接收驗證器所產生的證明聲明。
        備註: 如果證明轉移喜好設定為「直接」,則 TouchID 驗證器無法正常運作。
      使用者驗證喜好設定 設定您想要以何種方式處理使用者驗證。

      必要為預設值。此選項可提供最高的安全性。

      • 已阻止。此值表示信賴憑證者不想要在驗證期間使用使用者驗證。
      • 慣用。此值表示信賴憑證者傾向於在適用時使用使用者驗證,但在回應未設定 UV 旗標時,作業並不會失敗。
      • 必要。預設值。此值表示信賴憑證者需要將使用者驗證用於作業,且若回應未設定 UV 旗標,作業將會失敗。
      驗證器類型喜好設定

      如果管理員登錄使用者,請選取跨平台。如果使用者登錄裝置,請選取平台。選取全部會同時使用這兩個選項。

      • 平台。連結至裝置的驗證器。例如,執行 Windows Hello 的筆記型電腦。
      • 跨平台。可移除且跨平台的驗證器。例如 YubiKey。這些驗證器可在多個裝置上使用。
      • 全部
      驗證逾時 (以秒為單位) 輸入要求到期之前的等待回應時間 (以秒為單位)。建議的時間為 180 秒 (3 分鐘)。
      動作類型 (選用)

      您可以根據使用者的 AAGUID 為使用者設定限制,以允許特定 FIDO2 安全性金鑰,或根據其 AAGUID 封鎖特定 FIDO 安全性金鑰。

      如果您選取了動作類型,請設定驗證器的 AAGUID 清單以進行管理。

      驗證器的 AAGUID 清單

      如果您選取了動作類型,請針對您想要允許或封鎖的所有驗證器類型列出其 FIDO2 安全性金鑰 AAGUID。

      每個驗證器均應在登錄期間提供驗證器證明 GUID (AAGUID)。AAGUID 是一個用來指出驗證器類型的 128 位元識別碼,例如驗證器的製造商和型號。

      AAGUID 以字串表示,例如, 7a98c250-6808-11cf-b73b-00aa00b677a7 由 5 個十六進位字串組成,並以破折號 (-) 分隔。

    3. 按一下儲存
  2. 導覽至管理 > 身分識別提供者,然後選取您已設定的內建身分識別提供者。
    1. 驗證方法區段中,選取 FIDO2
    2. 按一下儲存

後續步驟

在 [原則] 中建立 FIDO2 登錄原則規則和 FIDO2 驗證原則規則。