Configuration de l'authentificateur FIDO

Configurez l'authentification Fast ID Online (FIDO) dans un domaine d'identité dans IAM afin que les utilisateurs puissent s'authentifier à l'aide d'un dispositif d'authentification externe tel qu'un YubiKey, ou interne tel que Windows Hello ou Touch ID de Mac.

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité.
  3. Sur la page de détails du domaine, sélectionnez Sécurité.
  4. Sur la page Sécurité, sélectionnez Authentification à deux facteurs.
  5. Sélectionnez l'onglet Authentificateur FIDO.
  6. Configurez les paramètres d'authentification FIDO :
    • Délai d'expiration (en millisecondes) : durée pendant laquelle l'utilisateur doit agir. Si l'utilisateur n'agit pas au cours de cette période, l'authentification échoue. La valeur par défaut est de 60 000 millisecondes (6 secondes).
    • Attestation : Il s'agit d'une paire de clés appartenant à l'appareil et affectée lors de la fabrication. Il est spécifique au modèle d'appareil et utilisé lorsque l'appareil est enregistré pour prouver le modèle spécifique.
      • Aucun : indique que la partie réceptrice n'est pas intéressée par l'attestation d'authentificateur.
      • Indirect : indique que la partie de confiance autorise l'anonymisation des données d'attestation.
      • Direct : indique que la partie réceptrice souhaite recevoir les données d'attestation de l'authentificateur.
    • Sélection d'authentificateur - Pièce jointe : contrôle le type d'authentificateur auprès duquel un utilisateur s'inscrit.
      • Plate-forme : sélectionnez cette option pour utiliser Windows Hello et Touch ID de Mac.
      • Interplate-forme : sélectionnez cette option pour utiliser un authentificateur interplate-forme tel que YubiKey.
      • Les deux : valeur par défaut.
    • Sélection d'authentificateur - Clé résidente : indique si la prise en charge d'une clé résidente est activée et indique comment.
      • Aucun : (valeur par défaut) indique que la clé privée est chiffrée et stockée sur le serveur.
      • Obligatoire : indique que la partie réceptrice requiert des informations d'identification repérables côté client et qu'elle est prête à recevoir une erreur si des informations d'identification repérables côté client ne peuvent pas être créées.
      • Préféré : indique que la partie réceptrice préfère créer des informations d'identification repérables côté client, mais qu'elle accepterait des informations d'identification côté serveur.
      • Découragé : indique que la partie réceptrice préfère créer des informations d'identification côté serveur, mais qu'elle accepterait des informations d'identification repérables côté client.
    • Sélection d'authentificateur - Vérification utilisateur : exigences de la partie réceptrice concernant la vérification utilisateur lors de l'inscription.
      • Obligatoire : indique que la partie réceptrice requiert la vérification de l'utilisateur pour l'opération ou que celle-ci échoue.
      • Préféré : (valeur par défaut) indique que la partie réceptrice préfère la vérification par l'utilisateur pour l'opération si possible.
      • Découragé : indique que la partie réceptrice ne souhaite pas que la vérification utilisateur soit utilisée pendant l'opération.
    • Types de clé publique : algorithme cryptographique utilisé pour générer une paire de clés publiques lors de l'inscription. IAM certifie uniquement ES256 (par défaut), RS1 et RS256.
    • Exclure les informations d'identification : (désactivé par défaut). Utilisé par les parties de confiance pour limiter la création de plusieurs informations d'identification pour le même compte sur un authentificateur donné.
  7. Sélectionnez Enregistrer les modifications.
  8. Confirmez les modifications à l'invite.
L'authentification FIDO est désormais un facteur de connexion supplémentaire.