Configuration de l'authentificateur FIDO
Configurez l'authentification Fast ID Online (FIDO) dans un domaine d'identité dans IAM afin que les utilisateurs puissent s'authentifier à l'aide d'un dispositif d'authentification externe tel qu'un YubiKey, ou interne tel que Windows Hello ou Touch ID de Mac.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité.
- Sur la page de détails du domaine, sélectionnez Sécurité.
- Sur la page Sécurité, sélectionnez Authentification à deux facteurs.
- Sélectionnez l'onglet Authentificateur FIDO.
-
Configurez les paramètres d'authentification FIDO :
- Délai d'expiration (en millisecondes) : durée pendant laquelle l'utilisateur doit agir. Si l'utilisateur n'agit pas au cours de cette période, l'authentification échoue. La valeur par défaut est de 60 000 millisecondes (6 secondes).
- Attestation : Il s'agit d'une paire de clés appartenant à l'appareil et affectée lors de la fabrication. Il est spécifique au modèle d'appareil et utilisé lorsque l'appareil est enregistré pour prouver le modèle spécifique.
- Aucun : indique que la partie réceptrice n'est pas intéressée par l'attestation d'authentificateur.
- Indirect : indique que la partie de confiance autorise l'anonymisation des données d'attestation.
- Direct : indique que la partie réceptrice souhaite recevoir les données d'attestation de l'authentificateur.
- Sélection d'authentificateur - Pièce jointe : contrôle le type d'authentificateur auprès duquel un utilisateur s'inscrit.
- Plate-forme : sélectionnez cette option pour utiliser Windows Hello et Touch ID de Mac.
- Interplate-forme : sélectionnez cette option pour utiliser un authentificateur interplate-forme tel que YubiKey.
- Les deux : valeur par défaut.
- Sélection d'authentificateur - Clé résidente : indique si la prise en charge d'une clé résidente est activée et indique comment.
- Aucun : (valeur par défaut) indique que la clé privée est chiffrée et stockée sur le serveur.
- Obligatoire : indique que la partie réceptrice requiert des informations d'identification repérables côté client et qu'elle est prête à recevoir une erreur si des informations d'identification repérables côté client ne peuvent pas être créées.
- Préféré : indique que la partie réceptrice préfère créer des informations d'identification repérables côté client, mais qu'elle accepterait des informations d'identification côté serveur.
- Découragé : indique que la partie réceptrice préfère créer des informations d'identification côté serveur, mais qu'elle accepterait des informations d'identification repérables côté client.
- Sélection d'authentificateur - Vérification utilisateur : exigences de la partie réceptrice concernant la vérification utilisateur lors de l'inscription.
- Obligatoire : indique que la partie réceptrice requiert la vérification de l'utilisateur pour l'opération ou que celle-ci échoue.
- Préféré : (valeur par défaut) indique que la partie réceptrice préfère la vérification par l'utilisateur pour l'opération si possible.
- Découragé : indique que la partie réceptrice ne souhaite pas que la vérification utilisateur soit utilisée pendant l'opération.
- Types de clé publique : algorithme cryptographique utilisé pour générer une paire de clés publiques lors de l'inscription. IAM certifie uniquement ES256 (par défaut), RS1 et RS256.
- Exclure les informations d'identification : (désactivé par défaut). Utilisé par les parties de confiance pour limiter la création de plusieurs informations d'identification pour le même compte sur un authentificateur donné.
- Sélectionnez Enregistrer les modifications.
- Confirmez les modifications à l'invite.