Configuration de l'authentificateur FIDO
Configurez l'authentification FIDO (Fast ID Online) dans un domaine d'identité IAM afin que les utilisateurs puissent s'authentifier à l'aide d'un appareil d'authentification externe comme YubiKey, ou d'un appareil interne comme Windows Hello ou Mac Touch ID.
- Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
- Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité.
- Sur la page de détails du domaine, sélectionnez Authentification.
- Sur la page Authentification, dans la ligne Authentificateur de clé de passe FIDO (Fast ID Online), sélectionnez Modifier.
-
Configurez les paramètres d'authentificateur FIDO:
- Délai d'expiration (millisecondes) : durée pendant laquelle l'utilisateur doit agir. Si l'utilisateur n'agit pas pendant cette période, l'authentification échoue. La valeur par défaut est de 60 000 millisecondes (6 secondes).
-
Attestation : Il s'agit d'une paire de clés qui appartient à l'appareil et qui est affectée pendant la fabrication. Il est spécifique au modèle d'appareil et utilisé lorsque l'appareil est enregistré pour prouver le modèle spécifique.
- Aucun : indique que la partie réceptrice n'est pas intéressée par l'attestation d'authentificateur.
- Indirect : indique que la partie réceptrice autorise les données d'attestation anonymisées.
- Direct : indique que la partie réceptrice souhaite recevoir les données d'attestation de l'authentificateur.
-
Sélection d'authentificateur - Attachement : contrôle le type d'authentificateur auquel un utilisateur s'inscrit.
- Plate-forme : sélectionnez cette option pour utiliser Windows Hello et Mac Touch ID.
- Cross-Platform : sélectionnez cette option pour utiliser un authentificateur interplate-forme tel qu'une YubiKey.
- Les deux : il s'agit de la valeurs par défaut.
-
Clé résidente de sélection d'authentificateur : détermine si la prise en charge d'une clé résidente est activée et comment.
- Aucun : (valeur par défaut) indique que la clé privée est cryptée et stockée sur le serveur.
- Obligatoire : indique que la partie réceptrice requiert des informations d'identification repérables côté client et qu'elle est prête à recevoir une erreur si aucune information d'identification repérable côté client ne peut être créée.
- Préféré : indique que la partie réceptrice préfère créer des données d'identification repérables côté client, mais qu'elle acceptera des données d'identification repérables côté serveur.
- Déconseillé : indique que la partie réceptrice préfère créer des données d'identification côté serveur, mais qu'elle acceptera des données d'identification repérables côté client.
-
Sélection d'authentificateur - vérification utilisateur : exigences de la partie réceptive concernant l'inscription lors de la vérification utilisateur.
- Obligatoire : indique que la partie réceptrice requiert une vérification de l'utilisateur pour l'opération ou que l'opération échoue.
- Préféré : (valeur par défaut) indique que la partie réceptrice préfère la vérification par l'utilisateur pour l'opération si possible.
- Déconseillé : indique que la partie réceptrice ne veut pas que la vérification de l'utilisateur soit utilisée pendant l'opération.
- Types de clé publique : algorithme cryptographique utilisé pour générer une paire de clés publiques lors de l'enregistrement. IAM certifie uniquement ES256 (par défaut), RS1 et RS256.
- Exclure les informations d'identification : (désactivé par défaut). Utilisé par les parties réceptrices afin de limiter la création de plusieurs informations d'identification pour le même compte sur un authentificateur unique.
- Sélectionnez Enregistrer les modifications.
- Confirmez les modifications lorsque vous y êtes invité.