FIDO2 驗證提供可在 Workspace ONE Access 服務中啟用的強式無密碼驗證方法。FIDO2 可讓使用者使用外部驗證器 (例如 USB 安全性金鑰) 或平台驗證器 (例如 TouchID 或 Windows Hello) 進行驗證。

備註: FIDO2 驗證方法目前僅支援桌面平台瀏覽器中的驗證。

FIDO2 啟用時,使用者可自行登錄其本身的驗證器。您可以在 Workspace ONE Access 主控台中代表使用者管理驗證器。

FIDO2 使用者登錄

若要使用 FIDO2 無密碼驗證,使用者必須登錄其驗證器。使用者進行登錄時,驗證器會建立金鑰組。私密金鑰會儲存在裝置或外部硬體或軟體上,而公開金鑰會登錄於 Workspace ONE Access 服務中。

設定 FIDO2 驗證時,您可以在 Workspace ONE 主控台中啟用 FIDO2 登錄。您可以建立存取原則登錄規則,以要求使用者必須先登錄其 FIDO2 驗證器才能透過 Workspace ONE Access 進行驗證。當使用者第一次登入以存取需要 FIDO2 驗證的應用程式時,系統會要求他們登錄其 FIDO2 驗證器。

  1. 使用者可在桌面平台的瀏覽器中導覽至 Hub 目錄,然後選取需要 FIDO2 驗證的 Web 應用程式。
  2. 若沒有已為使用者登錄的 FIDO2 驗證器,使用者可在登入畫面中按一下登錄 FIDO2 驗證器
  3. 使用者會升級為使用已設定的 Workspace ONE Access 驗證方法 (例如使用者名稱和密碼) 進行驗證。
  4. 使用者通過驗證後,瀏覽器驗證器登錄畫面隨即顯示,表示使用者完成登錄。

使用者最多可登錄十個驗證器。

完成登錄後,使用者可使用其驗證器 (例如指紋感應器、臉部識別,或已啟用 FIDO2 的 USB 安全性金鑰) 解除鎖定使用者的私密金鑰,以確認使用者認證並驗證使用者。無需其他驗證。

在 Workspace ONE Access 服務中管理使用者 FIDO2 登錄

當使用者登錄其驗證器時,驗證器資訊會經由 Workspace ONE Access 主控台的 [使用者] > [使用者和群組] 頁面設定於使用者設定檔中。若要查看 FIDO2 設定,請開啟 [雙因素驗證] 索引標籤。

您可以管理 FIDO2 驗證器,包括新增和刪除驗證器。

您可以封鎖使用者驗證器。如果使用者的驗證器遭到封鎖,您必須從主控台將其解除封鎖。使用者無法將其驗證器解除封鎖。

您也可以重新命名驗證器類型以提供更具描述性的名稱。