Configuration de l'authentification FIDO
Configurez l'authentification FIDO dans un domaine d'identité dans IAM afin que les utilisateurs puissent s'authentifier à l'aide d'un appareil d'authentification externe, par exemple YubiKey, ou d'un appareil interne, tel que Windows Hello ou Mac Touch ID.
- Ouvrez le menu de navigation et cliquez sur Sécurité de l'identité. Sous Identité, cliquez sur Domaines.
- Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité.
- Dans la page des détails du domaine, cliquez sur Sécurité.
- Dans la page Sécurité, cliquez sur Authentification à deux facteurs.
- Cliquez sur l'onglet Aauthentificateur FIDO.
-
Configurez les paramètres de l'authentificateur FIDO :
- Temporisation (millisecondes) : Durée pendant laquelle l'utilisateur doit agir. Si l'utilisateur n'agit pas au cours de cette période, l'authentification échoue. La valeur par défaut est 60 000 millisecondes (6 secondes).
- Attestation : Il s'agit d'une paire de clés qui appartient à l'appareil et qui est affectée pendant la fabrication. Il est spécifique au modèle de l'appareil, et il est utilisé lorsque l'appareil est enregistré pour prouver le modèle spécifique.
- Aucun indique que la partie de confiance n'est pas intéressée par l'attestation de l'authentificateur.
- Indirecte indique que la partie de confiance autorise les données d'attestation anonymisées.
- Direct indique que la partie de confiance veut recevoir les données d'attestation de l'authentificateur.
- Fichier joint pour la sélection de l'authentification : Contrôle le type d'authentification avec lequel un utilisateur s'inscrit.
- Plate-forme : Choisissez d'utiliser Windows Hello et Mac Touch ID.
- Inter-plate-forme : Choisissez d'utiliser un authentificateur inter-plate-forme, par exemple YubiKey.
- Les deux : Cette valeur est la valeur par défaut.
- Clé résidente pour la sélection de l'authentification : Indique si la prise en charge de la clé résidente doit être activée.
Aucune (valeur par défaut) indique que la clé privée est chiffrée et stockée sur le serveur.
- Vérification de l'utilisateur pour la sélection de l'authentification : Exigences de la partie de confiance concernant la vérification de l'utilisateur lors de l'inscription. Préféré est la valeur par défaut.
- Types de clé publique : Algorithme cryptographique utilisé pour générer une paire de clés publiques lors de l'inscription. Le service IAM certifie uniquement ES256 (valeur par défaut), RS1 et RS256.
- Exclure les données d'identification : Utilisé par les parties de confiance pour limiter la création de données d'identification multiples pour le même compte sur un seul authentificateur. Valeur par défaut non sélectionnée.
- Cliquez sur enregistrer les modifications.
- Vérifiez les modifications à l'invite.