Configuration de l'authentification FIDO
Configurez l'authentification FIDO (Fast ID Online) dans un domaine d'identité dans IAM afin que les utilisateurs puissent s'authentifier à l'aide d'un appareil d'authentification externe tel que YubiKey ou d'un appareil interne tel que Windows Hello ou Mac Touch ID.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité.
- Dans la page des détails du domaine, sélectionnez Sécurité.
- Dans la page Sécurité, sélectionnez Authentification à deux facteurs.
- Sélectionnez l'onglet Authentificateur FIDO.
-
Configurez les paramètres de l'authentificateur FIDO :
- Temporisation (millisecondes) : Durée pendant laquelle l'utilisateur doit agir. Si l'utilisateur n'agit pas au cours de cette période, l'authentification échoue. La valeur par défaut est 60 000 millisecondes (6 secondes).
- Attestation : Il s'agit d'une paire de clés qui appartient à l'appareil et qui est affectée pendant la fabrication. Il est spécifique au modèle d'appareil et utilisé lorsque l'appareil est enregistré pour prouver le modèle spécifique.
- Aucun : Indique que la partie de confiance n'est pas intéressée par l'attestation de l'authentificateur.
- Indirecte : Indique que la partie de confiance autorise les données d'attestation anonymisées.
- Direct : Indique que la partie de confiance veut recevoir les données d'attestation de l'authentificateur.
- Fichier joint pour la sélection de l'authentification : Contrôle le type d'authentification avec lequel un utilisateur s'inscrit.
- Plate-forme : Sélectionnez cette option pour utiliser Windows Hello et Mac Touch ID.
- Inter-plate-forme : Sélectionnez cette option pour utiliser un authentificateur inter-plate-forme, par exemple YubiKey.
- Les deux : Cette valeur est la valeur par défaut.
- Clé résidente pour la sélection de l'authentification : Indique si la prise en charge d'une clé résidente est activée et comment.
- Aucun : (valeur par défaut) indique que la clé privée est chiffrée et stockée sur le serveur.
- Obligatoire : Indique que la partie de confiance nécessite des données d'identification détectables côté client et est prête à recevoir une erreur si aucune donnée d'identification détectable côté client ne peut être créée.
- Privilégié : Indique que la partie de confiance préfère créer des données d'identification détectables côté client, mais qu'elle accepterait des données d'identification côté serveur.
- Découragé : Indique que la partie de confiance préfère créer des données d'identification côté serveur, mais qu'elle accepterait des données d'identification détectables côté client.
- Vérification de l'utilisateur pour la sélection de l'authentification : Exigences de la partie de confiance concernant la vérification de l'utilisateur lors de l'inscription.
- Obligatoire : Indique que la partie de confiance nécessite une vérification de l'utilisateur pour l'opération ou que celle-ci échoue.
- Privilégié : (par défaut) indique que la partie de confiance préfère la vérification de l'utilisateur pour l'opération si possible.
- Découragé : Indique que la partie de confiance ne veut pas que la vérification de l'utilisateur soit utilisée pendant l'opération.
- Types de clé publique : Algorithme cryptographique utilisé pour générer une paire de clés publiques lors de l'inscription. Le service IAM certifie uniquement ES256 (valeur par défaut), RS1 et RS256.
- Exclure les données d'identification : (désactivé par défaut). Utilisé par les parties de confiance pour limiter la création de données d'identification multiples pour le même compte sur un seul authentificateur.
- Sélectionnez enregistrer les modifications.
- Vérifiez les modifications à l'invite.