FIDO2 驗證提供可在 Workspace ONE Access 服務中啟用的強式無密碼驗證方法。FIDO2 可讓使用者使用外部驗證器 (例如 USB 安全性金鑰) 或平台驗證器 (例如 TouchID 或 Windows Hello) 進行驗證。
FIDO2 啟用時,使用者可自行登錄其本身的驗證器。您可以在 Workspace ONE Access 主控台中代表使用者管理驗證器。
FIDO2 使用者登錄
若要使用 FIDO2 無密碼驗證,使用者必須登錄其驗證器。當他們登錄時,驗證器會建立一個私密金鑰和公開金鑰。私密金鑰會儲存在裝置或外部硬體或軟體上,而公開金鑰會登錄於 Workspace ONE Access 服務中。
設定 FIDO2 驗證時,您可以在 Workspace ONE Access 主控台中啟用 FIDO2 登錄。您可以建立存取原則登錄規則,以要求使用者必須先登錄其 FIDO2 驗證器才能透過 Workspace ONE Access 服務進行驗證。當使用者第一次登入以存取需要 FIDO2 驗證的應用程式時,系統會要求他們登錄其 FIDO2 驗證器。
- 使用者導覽到 Hub 應用程式目錄,然後選取需要進行 FIDO2 驗證才能開啟的 Web 應用程式。
- 若沒有已為使用者登錄的 FIDO2 驗證器,使用者可在登入畫面中按一下登錄 FIDO2 驗證器。
備註: 使用者必須使用 Web 瀏覽器登錄 FIDO2 驗證器。
- 使用者會升級為使用已設定的 Workspace ONE Access 驗證方法 (例如使用者名稱和密碼) 進行驗證。
- 使用者通過驗證後,瀏覽器驗證器登錄畫面隨即顯示,表示使用者完成登錄。
完成登錄後,使用者可使用其驗證器 (例如指紋感應器、臉部識別,或已啟用 FIDO2 的 USB 安全性金鑰) 解除鎖定使用者的私密金鑰,以確認使用者認證並驗證使用者。無需其他驗證。
使用者最多可登錄十個驗證器。
在 Workspace ONE Access 服務中管理使用者 FIDO2 登錄
當使用者登錄其驗證器時,驗證器資訊會經由 Workspace ONE Access 主控台的 [帳戶] > [使用者] 頁面,設定於使用者設定檔中。若要查看 FIDO2 設定,請選取使用者名稱,然後開啟 [雙因素驗證] 索引標籤。
您可以管理 FIDO2 驗證器,包括新增和刪除驗證器。
您可以封鎖使用者驗證器。如果使用者的驗證器遭到封鎖,您必須從主控台將其解除封鎖。使用者無法將其驗證器解除封鎖。
您也可以重新命名驗證器類型以提供更具描述性的名稱。