Configuration de l'authentificateur FIDO
Configurez l'authentification Fast ID Online (FIDO) dans un domaine d'identité dans IAM afin que les utilisateurs puissent s'authentifier à l'aide d'un appareil d'authentification externe tel qu'un YubiKey ou d'un appareil interne tel que Windows Hello ou Mac Touch ID.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité.
- Dans la page des détails du domaine, sélectionnez Authentification.
- Dans la page Authentification, dans la rangée Authentificateur de clé de passe Fast ID Online (FIDO), sélectionnez Modifier.
-
Configurer les paramètres de l'authentificateur FIDO :
- Temporisation (en millisecondes) : Durée pendant laquelle l'utilisateur doit agir. Si l'utilisateur n'agit pas dans cette période, l'authentification échoue. La valeur par défaut est 60 000 millisecondes (6 secondes).
-
Attestation : Il s'agit d'une paire de clés qui appartient à l'appareil et qui est affectée lors de la fabrication. Il est spécifique au modèle d'appareil et utilisé lorsque l'appareil est enregistré pour prouver le modèle spécifique.
- Aucun : Indique que la partie de confiance ne s'intéresse pas à l'attestation d'authentification.
- Indirecte : Indique que la partie de confiance autorise les données d'attestation anonymisées.
- Direct : Indique que la partie de confiance souhaite recevoir les données d'attestation de l'authentificateur.
-
Fichier joint pour la sélection de l'authentification : Contrôle le type d'authentification avec lequel un utilisateur s'inscrit.
- Plate-forme : Sélectionnez cette option pour utiliser Windows Hello et Mac Touch ID.
- Inter-plate-forme : Sélectionnez cette option pour utiliser un authentificateur inter-plate-forme, par exemple YubiKey.
- Les deux : Cette valeur est la valeur par défaut.
-
Clé résidente de sélection de l'authentificateur : Indique si la prise en charge d'une clé résidente est activée et comment.
- Aucun : (valeur par défaut) indique que la clé privée est chiffrée et stockée sur le serveur.
- Obligatoire : Indique que la partie de confiance nécessite des données d'identification détectables côté client et qu'elle est prête à recevoir une erreur si des données d'identification détectables côté client ne peuvent pas être créées.
- Privilégié : Indique que la partie de confiance préfère créer des données d'identification détectables côté client, mais qu'elle accepterait des données d'identification côté serveur.
- Déconseillé : Indique que la partie de confiance préfère créer des données d'identification côté serveur, mais qu'elle accepterait des données d'identification détectables côté client
-
Vérification de l'utilisateur pour la sélection de l'authentification : Exigences de la partie de référence concernant la vérification de l'utilisateur lors de l'inscription.
- Obligatoire : Indique que la partie de confiance nécessite une vérification de l'utilisateur pour l'opération ou que l'opération échoue.
- Privilégié : (par défaut) indique que la partie de confiance préfère la vérification de l'utilisateur pour l'opération si possible.
- Découragé : Indique que la partie de confiance ne souhaite pas que la vérification de l'utilisateur soit utilisée pendant l'opération.
- Types de clé publique : Algorithme cryptographique utilisé pour générer une paire de clés publiques lors de l'inscription. Le service IAM certifie uniquement ES256 (valeur par défaut), RS1 et RS256.
- Exclure les données d'identification : (désactivé par défaut). Utilisé par les parties de confiance pour limiter la création de données d'identification multiples pour le même compte sur un seul authentificateur.
- Sélectionnez Enregistrer les modifications.
- Confirmez les modifications lorsque vous y êtes invité.