Configuration de l'authentification FIDO

Configurez l'authentification FIDO (Fast ID Online) dans un domaine d'identité dans IAM afin que les utilisateurs puissent s'authentifier à l'aide d'un appareil d'authentification externe tel que YubiKey ou d'un appareil interne tel que Windows Hello ou Mac Touch ID.

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité.
  3. Dans la page des détails du domaine, sélectionnez Sécurité.
  4. Dans la page Sécurité, sélectionnez Authentification à deux facteurs.
  5. Sélectionnez l'onglet Authentificateur FIDO.
  6. Configurez les paramètres de l'authentificateur FIDO :
    • Temporisation (millisecondes) : Durée pendant laquelle l'utilisateur doit agir. Si l'utilisateur n'agit pas au cours de cette période, l'authentification échoue. La valeur par défaut est 60 000 millisecondes (6 secondes).
    • Attestation : Il s'agit d'une paire de clés qui appartient à l'appareil et qui est affectée pendant la fabrication. Il est spécifique au modèle d'appareil et utilisé lorsque l'appareil est enregistré pour prouver le modèle spécifique.
      • Aucun : Indique que la partie de confiance n'est pas intéressée par l'attestation de l'authentificateur.
      • Indirecte : Indique que la partie de confiance autorise les données d'attestation anonymisées.
      • Direct : Indique que la partie de confiance veut recevoir les données d'attestation de l'authentificateur.
    • Fichier joint pour la sélection de l'authentification : Contrôle le type d'authentification avec lequel un utilisateur s'inscrit.
      • Plate-forme : Sélectionnez cette option pour utiliser Windows Hello et Mac Touch ID.
      • Inter-plate-forme : Sélectionnez cette option pour utiliser un authentificateur inter-plate-forme, par exemple YubiKey.
      • Les deux : Cette valeur est la valeur par défaut.
    • Clé résidente pour la sélection de l'authentification : Indique si la prise en charge d'une clé résidente est activée et comment.
      • Aucun : (valeur par défaut) indique que la clé privée est chiffrée et stockée sur le serveur.
      • Obligatoire : Indique que la partie de confiance nécessite des données d'identification détectables côté client et est prête à recevoir une erreur si aucune donnée d'identification détectable côté client ne peut être créée.
      • Privilégié : Indique que la partie de confiance préfère créer des données d'identification détectables côté client, mais qu'elle accepterait des données d'identification côté serveur.
      • Découragé : Indique que la partie de confiance préfère créer des données d'identification côté serveur, mais qu'elle accepterait des données d'identification détectables côté client.
    • Vérification de l'utilisateur pour la sélection de l'authentification : Exigences de la partie de confiance concernant la vérification de l'utilisateur lors de l'inscription.
      • Obligatoire : Indique que la partie de confiance nécessite une vérification de l'utilisateur pour l'opération ou que celle-ci échoue.
      • Privilégié : (par défaut) indique que la partie de confiance préfère la vérification de l'utilisateur pour l'opération si possible.
      • Découragé : Indique que la partie de confiance ne veut pas que la vérification de l'utilisateur soit utilisée pendant l'opération.
    • Types de clé publique : Algorithme cryptographique utilisé pour générer une paire de clés publiques lors de l'inscription. Le service IAM certifie uniquement ES256 (valeur par défaut), RS1 et RS256.
    • Exclure les données d'identification : (désactivé par défaut). Utilisé par les parties de confiance pour limiter la création de données d'identification multiples pour le même compte sur un seul authentificateur.
  7. Sélectionnez enregistrer les modifications.
  8. Vérifiez les modifications à l'invite.
L'authentification FIDO est désormais un facteur d'authentification supplémentaire