FIDO2 (WebAuthn))

Le facteur FIDO2 (WebAuthn) vous permet d'utiliser une méthode biométrique, comme la lecture des empreintes digitales, pour vous authentifier. Ce facteur prend en charge les méthodes d'authentification suivantes :

  • Les clés de sécurité telles que YubiKey ou Google Titan.
  • L'authentification par plateforme intégrée à un appareil et utilisant des données biométriques, comme Windows Hello ou Apple Touch ID

FIDO2 (WebAuthn) suit le standard FIDO2 Web Authentication (WebAuthn). Une fois ce facteur activé, les utilisateurs finaux peuvent le sélectionner lors de la connexion et l'utiliser pour une authentification supplémentaire.

Les connexions à des URL différentes de l'URL Okta de l'organisation, de l'URL du domaine personnalisé, de la validation de l'origine croisée ou de l'identifiant de la partie de confiance cross-origin lors de l'utilisation de l'Origines approuvées API. Consultez Configurer des origines approuvées.

Pour configurer et gérer les clés YubiKey afin d'utiliser le mode de mot de passe à usage unique (OTP), consultez YubiKey (MFA).

Inscrire une clé de sécurité FIDO2 (WebAuthn) pour un utilisateur

Les administrateurs peuvent inscrire une clé de sécurité au nom d'un utilisateur faisant partie du Okta Directory. Cela vous permet de provisionner des clés de sécurité, ainsi que des ordinateurs portables et des téléphones mobiles, dans le cadre de l'intégration des employés.

  1. Dans la Admin Console, accédez à RépertoirePersonnes.

  2. Dans le champ Recherche, saisissez le nom d'utilisateur, puis appuyez sur la touche Entrée. Ou bien, cliquez sur Voir tous les utilisateurs, trouvez l'utilisateur dans la liste, et cliquez sur son nom.
  3. Dans le menu Plus d'Actions, sélectionnez Inscrire une clé de sécurité FIDO2.
  4. Cliquez sur S'inscrire. L'invite Vérifier votre identité s'affiche dans votre navigateur.
  5. Sélectionnez l'option USB security key (Clé de sécurité USB) et suivez les instructions de votre navigateur.
  6. Lorsque l'invite Allow this site to see your security key? (Autoriser ce site à voir votre clé de sécurité ?) s'affiche, cliquez sur Autoriser.
  7. Cliquez sur Fermer ou Inscrire quelqu'un d'autre.

Limitations actuelles

  • Sur les navigateurs Google Chrome, le facteur FIDO2 (WebAuthn) n'est pas utilisable si le navigateur requiert une mise à jour. La fonctionnalité WebAuthn est restaurée lorsque vous redémarrez le navigateur après avoir appliqué la mise à jour.
  • Chaque utilisateur peut configurer un maximum de 10 inscriptions à WebAuthn.

Expérience utilisateur

Si ce facteur est activé, les utilisateurs peuvent le sélectionner lors de la connexion et le configurer pour qu'il puisse être utilisé pour une authentification supplémentaire. En fonction de votre configuration, les utilisateurs peuvent également être invités à fournir une Vérification de l'utilisateur. Cette vérification peut inclure une vérification biométrique, un code PIN ou un mot de passe en plus de l'utilisation de l'appareil.

Lors de l'inscription d'une clé de sécurité WebAuthn ou d'un facteur biométrique, les utilisateurs sont invités à autoriser Okta à disposer d'informations sur ce facteur inscrit particulier. Cela permet à chaque facteur FIDO2 (WebAuthn) d'apparaître par son nom dans la section Extra Verification (Vérification supplémentaire) de la page Paramètres de l'utilisateur.

Si un utilisateur n'est inscrit qu'au facteur FIDO2 (WebAuthn), il risque de ne pas pouvoir s'authentifier sur son compte en cas de problème avec son facteur ou son appareil FIDO2 (WebAuthn). Pour que les utilisateurs puissent toujours accès à leur compte Okta en cas de dysfonctionnement, de perte ou de vol de l'un de leurs appareils, encouragez les utilisateurs à procéder comme suit :

  • Configurez d'autres facteurs MFA , en plus de FIDO2 (WebAuthn), qui ne sont pas liés à un appareil particulier.
  • Créez plusieurs inscriptions WebAuthn dans plusieurs navigateurs et sur plusieurs appareils.

Les inscriptions de facteurs FIDO2 (WebAuthn) tels que Touch ID sont associées à un seul profil de navigateur sur un seul appareil.

Si les utilisateurs veulent utiliser un facteur FIDO2 (WebAuthn) sur plusieurs navigateurs ou appareils, informez-les qu'ils doivent créer une inscription FIDO2 (WebAuthn) dans chaque navigateur et sur chaque appareil où ils veulent utiliser l'Authenticator.

Par exemple, si un utilisateur dispose des navigateurs Google Chrome et Mozilla Firefox sur un ordinateur Microsoft Windows, et des navigateurs Google Chrome et Apple Safari sur un ordinateur Apple Macintosh, il doit créer une inscription WebAuthn dans chacun de ces quatre navigateurs.

S'ils possèdent plusieurs profils de compte Google dans le navigateur Google Chrome, ils doivent également créer une inscription WebAuthn pour chacun de ces profils de compte Google.

De plus, si vous activez le facteur FIDO2 (WebAuthn) sur votre URL*.okta.com , le facteur FIDO2 (WebAuthn) donne uniquement accès à votre org via votre URL*.okta.com. Si vous activez le facteur FIDO2 (WebAuthn) à l'aide de l'URL personnalisée de votre org Okta, le facteur FIDO2 (WebAuthn) n'autorisera l'accès à votre org que via cette URL personnalisée. Pour permettre à vos utilisateurs d'accéder à votre org via les deux URL, vous devez activer le facteur FIDO2 (WebAuthn) dans les deux URL.

Gestion des clés d'accès synchronisables

Les clés d'accès sont une implémentation du standard FIDO2 dans laquelle les informations d'identification FIDO2 (WebAuthn) peuvent exister sur plusieurs appareils, tels que des téléphones, des tablettes ou des ordinateurs portables, et sur plusieurs plateformes de systèmes d'exploitation. Les clés d'accès permettent des sauvegarder les informations d'identification FIDO2 (WebAuthn) et de les synchroniser entre les appareils. Cela préserve le modèle d'authentification forte basé sur les clés/protégé contre le hameçonnage de FIDO2 (WebAuthn) tout en renonçant à certaines fonctionnalités de sécurité d'entreprise, telles que les clés et les attestations liées à l'appareil, qui sont disponibles aujourd'hui avec certains Authenticators (WebAuthn). Les utilisateurs n'ont plus besoin de transporter leur clé de sécurité ou leur téléphone pour réussir les vérifications par authentification multifacteur. Au lieu de cela, ils peuvent utiliser n'importe quel appareil qu'ils ont déjà inscrit pour s'authentifier, car leurs informations d'identification ne sont pas limitées à un seul appareil.

Dans les environnements d'appareils gérés, les utilisateurs peuvent être en mesure d'inscrire des appareils non gérés aux informations d'identification d'une clé d'accès et d'utiliser ces appareils pour accéder aux systèmes de l'entreprise. Okta permet aux administrateurs de bloquer l'utilisation de clés d'accès synchronisées pour les nouvelles inscriptions à FIDO2 (WebAuthn) pour l'ensemble de leur org. Lorsque cette fonctionnalité est activée, les utilisateurs ne pourront pas inscrire de nouveaux appareils non gérés à l'aide de clés d'accès préenregistrées. Les administrateurs peuvent s'assurer que les politiques de sécurité sont appliquées sur les appareils gérés et prévenir le risque que des appareils non gérés et potentiellement compromis accèdent aux systèmes de l'entreprise.

Lorsque vous activez cette fonctionnalité, c'est-à-dire que vous bloquez l'utilisation des clés d'accès synchronisées dans votre org, les utilisateurs de macOS Monterrey ne peuvent pas s'inscrire à Touch ID à l'aide du navigateur Safari.

Bloquer l'utilisation des clés d'accès synchronisées

Cette fonctionnalité est désactivée par défaut. Activez cette fonctionnalité et bloquez l'utilisation des clés d'accès synchronisées dans votre organisation :

  1. Dans Admin Console, allez à ParamètresFonctionnalités.

  2. Cliquez sur le commutateur à bascule de l'option Bloquer les clés d'accès pour les Authenticators FIDO2 (WebAuthn). L'interrupteur à bascule devient bleu.

Les clés d'accès sur Chrome sur macOS sont liées à l'appareil et ne sont pas bloquées.

Autoriser l'utilisation des clés d'accès synchronisées

Il s'agit du paramètre par défaut. Désactivez cette fonctionnalité et autorisez l'utilisation des clés d'accès synchronisées dans votre organisation :

  1. Dans Admin Console, allez à ParamètresFonctionnalités.

  2. Cliquez sur le commutateur à bascule de l'option Bloquer les clés d'accès synchronisées pour les Authenticators FIDO2 (WebAuthn). L'interrupteur à bascule devient gris.

Compatibilité WebAuthn, navigateur et Okta

Les testeurs d'Okta ont testé des implémentations de navigateur et de WebAuthn pour déterminer celles qui sont compatibles avec Okta. Consultez Prise en charge de FIDO2 (WebAuthn) et comportement pour des détails.

Rubriques liées

Comportement et soutien FIDO2 (WebAuthn)

Authentification multifacteur

Configurer Trusted Origins

Origines approuvées API

Zones réseau

Sécurité générale

Stratégies d'authentification

HealthInsight

Support et comportement FIDO2 (WebAuthn)