Configurer l'authentificateur FIDO2 (WebAuthn)

Lorsque la fonctionnalité en accès anticipé de renommage des clés d'accès est activée, l'authentificateur FIDO2 (WebAuthn) est appelé Clés d'accès (FIDO2 WebAuthn), de nouveaux paramètres sont disponibles et des mises à jour de la mise en page sont apportées.

L'authenticator FIDO2 (WebAuthn) vous permet d'utiliser une clé de sécurité ou une méthode biométrique, comme la lecture des empreintes digitales, pour vous authentifier. FIDO2 (WebAuthn) suit la norme d'authentificationFIDO2 Web Authentication (WebAuthn). Après avoir activé cet authenticator, les utilisateurs peuvent l'utiliser pour s'authentifier lorsqu'ils se connectent à Okta ou l'utiliser pour une authentification supplémentaire.

Cet authenticator fournit plusieurs fonctionnalités facultatives pour vous aider à gérer votre implémentation FIDO2 (WebAuthn) .

  • Recherchez la liste des authenticators avec lesquels Okta fonctionne pour plan les achats d'équipement et désignez ceux qui sont autorisés dans votre org.
  • Ajouter vos propres authenticators personnalisés.
  • Créez des groupes d'authenticators et utilisez-les dans les politiques.
  • Gérer les clés d'accès et inscrire les clés de sécurité FIDO2 dans le cadre de l'intégration des utilisateurs.

FIDO2 (WebAuthn) est un facteur de possession et de biométrie, et répond aux exigences en matière de caractéristiques de présence de l'utilisateur, de résistance au hameçonnage et de liaison à l'appareil. Voir authentification multifacteur.

Avant de commencer

  • Vérifiez quels navigateurs prennent en charge l'authenticator FIDO2 (WebAuthn) et les considérations relatives à l'utilisation. Consultez Prise en charge de FIDO2 (WebAuthn) et comportement.

  • Consultez la liste des authenticators correspondant à l'identificateur global unique (AAGUID) de authenticator Attestation Global Unique Identifier (AAGUID) de FIDO Metadata Service (MDS). Vérifiez celles que vous pouvez utiliser avec Okta avant d'acquérir ou de déployer des clés de sécurité dans votre environnement. Si votre authenticator n'apparaît pas dans la liste FIDO MDS AAGUID, vous pouvez l'ajouter à la liste des AAGUID personnalisée. Consultez Examiner et gérer les MDS FIDO et les authenticators personnalisés.

  • Examinez la liste des authenticators pris en charge dans la liste des AAGUID. Vérifiez celles que vous pouvez utiliser avec Okta avant d'acquérir ou de déployer des clés de sécurité dans votre environnement.
  • Vérifiez les exigences du navigateur :
    • Mettez à jour Chrome vers la dernière version. Sur les navigateurs Google Chrome, l'authenticatorFIDO2 (WebAuthn) n'est pas utilisable si le navigateur requiert une mise à jour.
    • Encouragez vos utilisateurs finaux à inscrire l'authenticator FIDO2 (WebAuthn) sur plusieurs navigateurs et sur plusieurs appareils. Les utilisateurs ayant une inscription dans un navigateur ne peuvent pas s'authentifier si leur navigateur bloque leur méthode de sécurité ou s'ils perdent leur appareil.
  • Passez en revue les exigences du système :
    • L'authenticator FIDO2 (WebAuthn) n'est pas pris en charge par MFA Credential Provider pour Windows.
    • Lorsque vous activez cette fonctionnalité, c'est-à-dire que vous bloquez l'utilisation des clés d'accès synchronisables dans votre org, les utilisateurs de macOS Monterrey ne pourront pas s'inscrire à Touch ID à l'aide du navigateur Safari.
    • Lorsque vous bloquez l'utilisation des clés d'accès synchrones dans votre org, les utilisateurs d'iPhone exécutant iOS 16 sur leurs appareils ne peuvent pas utiliser l'authenticator FIDO2 (WebAuthn) . Activez Okta FastPass ou les clés de sécurité qui prennent en charge NFC ou USB-C à la place. Les inscriptions des appareils exécutant iOS 16 sont prises en charge après que vous avez bloqué l'utilisation des clés d'accès synchronisables à des fins autres que les clés d'accès.
    • L'authenticator FIDO2 (WebAuthn) autorise uniquement accès à l'URL de l'org dans laquelle vous l'ajoutez. Si vous avez plusieurs URL d'org Okta, y compris des URL personnalisées, ajoutez cet authenticator à chacune de vos organisations et URL.
    • Réinscrivez toutes les clés de sécurité qui ont été ajoutées avant le 30 novembre 2022.

Configurer l'authenticator FIDO2 (WebAuthn)

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.

  3. Cliquez sur Ajouter dans la tuile authenticator.

  4. Sélectionnez Activer l'interface utilisateur de saisie automatique pour activer la fonctionnalité Saisie automatique des clés d'accès.

    Version d'accès anticipé. Consultez Activer les fonctionnalités en libre-service.

    Pour désactiver cette fonctionnalité, décochez la case Activer l'interface utilisateur de saisie automatique , puis désactivez la fonctionnalité dans ParamètresFonctionnalités.

    Le remplissage automatique des clés d'accès ne fonctionne pas si vous utilisez le flux avec mot de passe en premier dans le Sign-In Widget.

    Pour plus d'informations sur l'expérience de l'utilisateur final, consultez Activer le remplissage automatique des clés d'accès.

  5. Configurer Vérification de l'utilisateur :

    • Déconseillée : les utilisateurs ne sont pas invités à effectuer une vérification de l'utilisateur lorsqu'ils s'inscrivent à un authenticator FIDO2 (WebAuthn).

    • Privilégiée : les utilisateurs sont invités à effectuer une vérification de l'utilisateur s'ils inscrivent un authenticator FIDO2 (WebAuthn) qui la prend en charge. L'expérience utilisateur peut varier selon les plateformes. Par exemple, l'utilisateur peut être invité à configurer un code PIN sur certains systèmes d'exploitation.

    • Obligatoire: les utilisateurs sont toujours invités à fournir une vérification de l'utilisateur lorsqu'ils s'inscrivent à un authenticator FIDO2 (WebAuthn).

  6. Cliquez sur Ajouter. L'authenticator apparaît dans la liste de l'onglet Configuration.

Ajouter l'authenticator FIDO2 (WebAuthn) à la politique d'inscription de l'authenticator

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Cliquez sur l'onglet Inscription.
  3. Ajoutez l'authenticator à une politique d'inscription authenticator (nouvelle ou existante).

Créer des clés d'accès

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Pour configurer l'authentificateur par clés d'accès (FIDO2 WebAuthn) afin de créer des clés d'accès, cliquez sur Créer des clés d'accès dans la section Paramètres des identifiants.

Lorsque ce paramètre est activé, l'authentificateur crée toujours des clés d'accès et la valeur Exigence de clé résidente est obligatoire. Cela offre une expérience utilisateur cohérente et prévisible, et toutes les fonctionnalités des clés d'accès seront disponibles.

Lorsque ce paramètre est désactivé, un mélange de clés d'accès et d'anciens identifiants U2F est créé, et la valeur Exigence de clé résidente est déconseillée. Cela peut entraîner une expérience utilisateur incohérente, car les fonctionnalités spécifiques aux clés d'accès ne sont pas disponibles.

Modifier ou supprimer l'authenticator FIDO2 (WebAuthn)

Avant de modifier ou de supprimer l'authenticator, vous devrez peut-être mettre à jour les politiques existantes qui utilisent cet authenticator.

  1. Dans authenticators, accédez à l'onglet Configuration .
  2. Ouvrez le menu déroulant Actions à côté de l'authenticator, puis sélectionnez Modifier ou Supprimer.

Domaine ID RP personnalisé WebAuthn

Un ID de partie de confiance (RP) représente le domaine avec lequel les clés d'accès et les clés de sécurité peuvent s'authentifier. Okta vous permet de personnaliser le domaine ID RP. Vous pouvez spécifier votre domaine org Okta, votre domaine personnalisé ou le suffixe pouvant être enregistré d'un domaine personnalisé. Vos utilisateurs peuvent alors s'authentifier à l'aide de leurs clés d'accès ou de sécurité dans le domaine et dans l'ensemble de ses sous-domaines. Ainsi, vous obtiendrez une authentification résistante au hameçonnage dans tous vos domaines. Elle permet également d'éviter la nécessité de délivrer plusieurs clés d'accès ou clés de sécurité à chaque utilisateur pour chaque domaine auquel il a accès.

Consultez Configurer un domaine personnalisé et Personnaliser le domaine et l'adresse e-mail.

Lorsque vous activez un ID RP nouveau ou modifié, Okta invalide tous les authenticators FIDO2 (WebAuthn) existants (biométrie, clés d'accès et clés de sécurité) qui ne sont pas étendus au domaine ID RP personnalisé. Les utilisateurs ne peuvent plus les utiliser pour s'authentifier.

  • Action recommandée : utilisez l'API Okta pour réinitialiser les inscriptions authenticator FIDO2 (WebAuthn) pour vos utilisateurs. Okta invite ensuite les utilisateurs à réinscrire leurs authenticators FIDO2 (WebAuthn) après avoir réinitialisé leurs inscriptions. Consultez Désinscrire un facteur.
  • Action facultative: conseillez aux utilisateurs de désinscrire manuellement leurs authenticators FIDO2 (WebAuthn) existants sur la page Paramètres de l'utilisateur final, puis de les réinscrire. Voir Paramètres de l‘utilisateur final Okta. Si les utilisateurs ne désinscrivent pas leurs authenticators FIDO2 (WebAuthn), ils sont invités à s'authentifier avec des authenticators non valides lors de leur prochaine connexion. Il est possible que l'accès à leur org soit impossible. Cette option n'est pas disponible dans les organisations qui n'autorisent pas les utilisateurs à accès à la page page Paramètres de l'utilisateur final.

Créer un ID RP

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration , cliquez sur Actions dans la ligne FIDO2 (WebAuthn).
  3. Cliquez sur Modifier.
  4. Dans le champ ID de la partie de confiance, saisissez votre domaine org Okta, un domaine personnalisé ou un suffixe pouvant être enregistré du domaine personnalisé.
  5. Cliquez sur Vérifier le domaine. Si le domaine est valide, Okta affiche VERIFIED sous le nom de domaine. Si vous avez saisi un suffixe pouvant être enregistré pour votre domaine personnalisé, Okta affiche les informations de l'enregistrement TXT. Ajoutez ces informations à l'enregistrement TXT lors de l'enregistrement de votre domaine par l'intermédiaire de votre bureau d'enregistrement de domaine.

    Certains bureaux d'enregistrement de domaine peuvent prendre du temps pour traiter et propager les changements d'enregistrement de votre domaine. Si le processus prend plus de temps que prévu, contactez votre bureau d'enregistrement de domaine pour obtenir de l'aide.

  6. Une fois l'enregistrement TXT mis à jour lors de l'enregistrement de votre domaine, cliquez sur Vérifier l'enregistrement TXT pour vérifier la propriété du domaine.
  7. Cliquez sur Enregistrer.
  8. Pour activer l'ID RP, accédez à Activer et désactiver un ID RP) .

Activer et désactiver un identifiant RP

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration , cliquez sur Actions dans la ligne FIDO2 (WebAuthn).
  3. Cliquez sur Modifier.
  4. Cliquez sur le commutateur à bascule dans la section Personnaliser la partie de confiance pour activer ou désactiver la fonctionnalité.
  5. Cliquez sur Enregistrer.
  6. Cliquez sur Enregistrer les modifications dans l'invite de confirmation .

Supprimer le domaine

La suppression d'un domaine supprime le domaine et désactive la fonctionnalité. Vous ne pouvez pas modifier un Identifiant RP après l'avoir enregistré. Pour le modifier, supprimez le domaine actuel, puis créez un nouvel ID RP. Si vous modifiez l'ID RP, les inscriptions FIDO2 (WebAuthn) existantes ne fonctionneront pas. Consultez la note dans Domaine ID RP personnalisé WebAuthn pour plus de détails.

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration , cliquez sur Actions dans la ligne FIDO2 (WebAuthn).
  3. Cliquez sur Modifier.
  4. Cliquez Supprimer le domaine. Le domaine est immédiatement supprimé.
  5. Cliquez sur Enregistrer.
  6. Cliquez sur Enregistrer les modifications dans l'invite de confirmation.

Vérification utilisateur

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Cela ajoute une vérification supplémentaire, comme une empreinte digitale, un scan du visage ou le code PIN de l'appareil, pour vérifier l'utilisateur. Cette vérification a lieu sur l'appareil de l'utilisateur, afin que ses données biométriques restent sur cet appareil.

Vous pouvez également exiger cela dans vos politiques de connexion aux applications et dans vos règles de politiques Okta Account Management. En cas de conflit de paramètres, l'option la plus sécurisée est toujours utilisée.

Inscription

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Sélectionnez l'une des options suivantes. Cela s'applique lorsqu'un utilisateur crée une clé d'accès.

  • Obligatoire : les utilisateurs sont invités à saisir une empreinte digitale, un scan de leur visage ou un code PIN pour créer une clé d'accès. Si leur appareil ne permet pas de le faire, l'enrôlement échoue.

  • Privilégiée (par défaut) : les utilisateurs sont invités à saisir une empreinte digitale, un scan de leur visage ou un code PIN. Ils peuvent toujours effectuer l'enrôlement si leur appareil ne prend pas en charge ces fonctions.

  • Déconseillée : les utilisateurs ne sont pas invités à effectuer de vérification. Utilisez cette option uniquement lorsqu'une autre étape de connexion fournit une sécurité suffisante.

    Certains navigateurs et authentificateurs ignorent ce paramètre.

Authentification

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Sélectionnez l'une des options suivantes. Ceci s'applique lorsqu'un utilisateur se connecte avec une clé d'accès.

  • Obligatoire : les utilisateurs sont invités à saisir leur empreinte digitale, leur visage ou leur code PIN chaque fois qu'ils se connectent. Il s'agit de l'option la plus sécurisée.

  • Privilégiée (par défaut) : les utilisateurs sont invités à saisir une empreinte digitale, un scan de leur visage ou un code PIN. Ils peuvent toujours se connecter si leur appareil ne prend pas en charge ces fonctions.

  • Déconseillée : les utilisateurs ne sont pas invités à effectuer de vérification à la connexion. Il s'agit de la méthode la plus rapide pour les utilisateurs, mais elle est moins sécurisée.

    Certains navigateurs et authentificateurs ignorent ce paramètre.

Caractéristiques obligatoires

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Vous pouvez exiger une validation d'attestation basée sur un certificat pour l'authentificateur par clés d'accès (FIDO2 WebAuthn). Si ce paramètre est activé, le certificat d'authentificateur fourni doit être validé par rapport au certificat associé dans le MDS FIDO ou à un certificat de validation AAGUID personnalisé chargé par l'administrateur Okta.

Ces options s'appliquent à la fois à l'enrôlement et à l'authentification.

  • Validation d'attestation basée sur un certificat : vérifie que la clé d'accès a été créée sur un appareil authentique et de confiance (comme une clé de sécurité certifiée).

  • Protection matérielle : exige que la clé d'accès soit stockée sur du matériel d'appareil sécurisé, tel que TPM ou Secure Enclave. Il s'agit de la même exigence que celle relative aux politiques de connexion aux applications, mais appliquée pour les enrôlements et authentification par clé d'accès.

  • Conforme FIPS : nécessite que l'authentificateur soit conforme à la norme FIPS (Federal Information Processing Standards).

Examiner et gérer les MDS FIDO et les authenticators personnalisés

Recherchez la liste des identifiants globaux et uniques (AAGUID) de l'authenticator du service de métadonnées (MDS) pour voir les authenticators que vous pouvez utiliser avec Okta. Les listes affichent le numéro AAGUID pour chaque authenticator, son type, le statut de conformité FIPS et le statut de protection du matériel. Ils vous aident à identifier les authenticators compatibles avec votre environnement, à fournir les fonctionnalités de protection dont vous avez besoin et à se conformer à vos normes de sécurité.

Si votre authenticator n'apparaît pas dans la liste FIDO MDS AAGUID, vous pouvez l'ajouter à la liste des AAGUID personnalisée. Lorsque vous ajoutez une entrée à la liste AAGUID personnalisée qui figure déjà dans la liste FIDO MDS AAGUID, l'entrée personnalisée remplace l'entrée MDS FIDO.

Vous pouvez télécharger la liste depuis le site Web de l'organisation FIDO. Consultez FIDO ALLIance Metadata Service. Vous pouvez uniquement voir les listes FIDO MDS AAGUID et AAGUID personnalisé dans Okta après avoir ajouté l'authenticator FIDO2 (WebAuthn) .

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration , cliquez sur Actions dans la ligne FIDO2 (WebAuthn).
  3. Sélectionnez Liste des AAGUID.
  4. Pour rechercher un authenticator compatible avec Okta, saisissez un nom authenticator ou un numéro AAGUID dans le champ Rechercher de la section Liste FIDO MDS AAGUID. Saisissez les mêmes critères dans le champ Rechercher de la section AAGUID personnalisé s'il n'apparaît pas dans la liste FIDO MDS AAGUID.
  5. Si votre authenticator n'apparaît dans aucune de ces listes, cliquez sur Ajouter un AAGUID personnalisé. Renseignez les champs suivants :
    • Nom : saisissez un nom pour votre authenticator personnalisé.
    • AAGUID : saisissez le numéro AAGUID pour votre authenticator personnalisé.
    • Activer l'attestation avec un certificat de validation d'attestation : sélectionnez cette option pour utiliser l'attestation basée sur un certificat. Si vous chargez un certificat ici, Okta place votre certificat sur l'authenticator personnalisé de l'utilisateur. Si vous ne chargez pas de certificat, d'autres options s'affichent :
      • Charger le certificat : glisser et déposer votre certificat de validation d'attestation dans la zone de téléversement, ou cliquez sur Téléverser un fichier, puis sélectionnez le certificat dans le navigateur de fichiers.
      • Caractéristiques : sélectionnez les caractéristiques qui s'appliquent à votre authenticator personnalisé (Protégé de façon matérielle, Conforme FIPS, et Authentificateur d'itinérance).
  6. Cliquez sur Enregistrer.
  7. Pour modifier ou supprimer un authenticator personnalisé, cliquez sur son menu déroulant Actions . Sélectionnez Modifier ou Supprimer. Si l'AAGUID personnalisé est utilisé dans un groupe authenticator WebAuthn, vous devez le retirer du groupe avant de pouvoir le supprimer.

Gérer les groupes d'authenticators

Okta vous permet de créer des groupes d'authenticators reconnus par Okta FIDO2 (WebAuthn) et de les utiliser dans des politiques. Cela simplifie la tâche qui consiste à demander à vos utilisateurs de s'authentifier avec des authenticators spécifiques FIDO2 (WebAuthn) lorsque vous créez des politiques.

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration , cliquez sur Actions sur la ligne FIDO2 (WebAuthn) , puis sélectionnez Groupe d'authentificateurs.
  3. Pour ajouter un groupe d'authenticators, cliquez sur Ajouter un groupe) .
  4. Saisissez le nom du groupe et ajoutez des authenticators FIDO2 (WebAuthn) au groupe.
  5. Cliquez sur Ajouter un groupe.

Pour modifier ou supprimer un groupe authenticator, trouvez-le dans la liste Groupes d'authenticators, puis cliquez sur Actions. Cliquez sur Modifier ou Supprimer.

Avant de pouvoir supprimer un groupe d'authenticators, vous devez le supprimer de toutes les politiques d'inscription d'authentification qui l'incluent. Consultez Modifier une politique d'inscription d'authenticator.

Bloquer les clés d'accès synchronisables

Version d'accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Les clés d'accès permettent des sauvegarder les informations d'identification WebAuthn et de les synchroniser entre les appareils. Les clés d'accès utilisent le modèle authentification forte basé sur les clés ou protégé contre le hameçonnage de FIDO2 (WebAuthn). Cependant, ils ne disposent pas de certaines fonctionnalités de sécurité d'entreprise, telles que les clés et les attestations liées à l'appareil, qui sont disponibles avec certains authenticators FIDO2 (WebAuthn) .

Dans les environnements d'appareils gérés, les utilisateurs peuvent être en mesure d'inscrire des appareils non gérés aux informations d'identification d'une clé d'accès et d'utiliser ces appareils pour s'authentifier. Okta permet aux administrateurs de bloquer l'utilisation de clés d'accès pour les nouvelles inscriptions FIDO2 (WebAuthn) pour l'ensemble de leur organization. Lorsque cette fonctionnalité est activée, les utilisateurs ne pourront pas inscrire de nouveaux appareils non gérés à l'aide de clés d'accès préenregistrées. Les clés d'accès sur Chrome sur macOS sont liées à l'appareil et ne sont pas bloquées.

Pour bloquer les clés d'accès synchronisées, activez Bloquer les clés d'accès synchronisées.

Si votre org a activé la fonctionnalité en accès anticipé Bloquer les clés d'accès synchronisés pour les authentificateurs FIDO2 (WebAuthn), cette option est en lecture seule, sauf si vous désactivez la fonctionnalité.

Il ne s'agit pas d'une vérification basée sur une attestation. Certains authentificateurs peuvent déclarer créer des clés liées à un appareil alors qu'elles sont en fait synchronisables. Ce paramètre bloque les authentificateurs connus pour créer des clés d'accès synchronisables, comme ceux qui sont stockés dans des gestionnaires de mot de passe tels que le Gestionnaire de mots de passe de Google, le trousseau iCloud et 1Password.

Inscrire une clé de sécurité FIDO2 pour un utilisateur

Les administrateurs peuvent inscrire une clé de sécurité au nom d'un utilisateur faisant partie du répertoire Okta. Cela vous permet de provisionner des clés de sécurité, ainsi que des ordinateurs portables et des téléphones mobiles, dans le cadre de l'intégration des employés.

  1. Dans l'Admin Console, accédez à RépertoirePersonnes.

  2. Dans le champ Recherche, saisissez le nom d'utilisateur, puis appuyez sur la touche Entrée. Ou bien, cliquez sur Voir tous les utilisateurs, trouvez l'utilisateur dans la liste, et cliquez sur son nom.
  3. Dans le menu Plus d'Actions, sélectionnez Inscrire une clé de sécurité FIDO2.
  4. Cliquez sur S'inscrire. La page Inscription à la sécurité WebAuthn s'affiche.
  5. Si votre navigateur affiche Créer une clé d'accès pour connexion à <org name> ? cliquez sur Annuler pour revenir à la page Inscription à la sécurité WebAuthn .
  6. Suivez les instructions de votre navigateur.
  7. Lorsque l'invite Autoriser ce site à voir votre clé de sécurité ? s'affiche, cliquez sur Autoriser.
  8. Cliquez sur Fermer ou Inscrire quelqu'un d'autre.

Expérience de l'utilisateur final

Si l'utilisateur n'a pas inscrit d'authenticator FIDO2 (WebAuthn) , Okta l'invite à le faire lors de sa prochaine connexion. Pour la méthode biométrique, ils sont invités à faire une empreinte digitale ou un scan de reconnaissance faciale. Pour la méthode de la clé de sécurité, ils sont invités à insérer leur clé de sécurité pour terminer l'inscription. Des invites guident l'utilisateur tout au long du processus.

Lors de l'inscription d'une clé de sécurité WebAuthn ou d'un authenticator biométrique, les utilisateurs sont invités à autoriser Okta à disposer d'informations sur cet authenticator inscrit particulier. Les utilisateurs doivent autoriser Okta à voir la marque et le modèle de la clé de sécurité. Cela permet à chaque authenticator FIDO2 (WebAuthn) d'apparaître par son nom dans la section Vérification supplémentaire de la page Paramètres de l'utilisateur.

Après l'inscription, lorsqu'un utilisateur se connecte, il peut sélectionner la méthode de sécurité FIDO2 (WebAuthn) et l'utiliser pour s'authentifier. Ils sont invités à scanner leur empreinte digitale ou à utiliser la reconnaissance faciale, ou à insérer leur clé de sécurité. Des invites guident l'utilisateur tout au long du processus. Chaque utilisateur peut configurer un maximum de 10 inscriptions à FIDO2 (WebAuthn).

Personnaliser le nom et la description de l'authentificateur

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Vous pouvez modifier le mode d'affichage de l'authentificateur par clés d'accès (FIDO2 WebAuthn) dans le Sign-In Widget hébergé par Okta. Vous pouvez choisir l'une des options suivantes pour le nom de l'authentificateur :

  • Clés d'accès

    Si l'option Créer des clés d'accès est désactivée, ce paramètre s'appelle Clé de sécurité ou authentificateur biométrique.

  • Nom et description personnalisés

    • Champ de nom personnalisé

    • Champ de description personnalisée

Pour définir un nom et une description personnalisés pour l'authentificateur, suivez ces étapes :

Si vous utilisez un nom et une description personnalisés, vous aurez besoin d'un code personnalisé pour les traductions.

  1. Dans la section Nom de l'authentificateur, sélectionnez Nom et description personnalisés.

  2. Dans le champ Nom personnalisé, entrez un nom personnalisé pour l'authentificateur afin de guider les utilisateurs finaux lors des enrôlements et de l'authentification.

  3. Dans le champ Description personnalisée, saisissez une description de l'authentificateur pour afficher des informations supplémentaires aux utilisateurs lors des enrôlements et de l'authentification.

Bouton Connexion avec une clé d'accès

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Activez Voir le bouton « Connexion avec une clé d'accès » pour afficher le bouton Connexion avec une clé d'accès sur le Okta Sign-in Widget. Lorsque cette option est activée, le bouton est affiché sur le Sign-In Widget pour tous les utilisateurs, ce qui permet à ceux ayant une clé d'accès enrôlée de s'authentifier facilement.

Les utilisateurs qui n'ont pas de clé d'accès enrôlée doivent s'authentifier avec leur nom d'utilisateur et un facteur enrôlé pour ajouter une nouvelle clé d'accès avant de pouvoir utiliser le bouton.

Activer la saisie automatique des clés d'accès

Version d'accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Après avoir activé cette fonctionnalité, les utilisateurs voient leurs clés d'accès inscrites lorsqu'ils cliquent sur le champ Nom d'utilisateur sur la page de connexion. Cela encourage les utilisateurs à utiliser FIDO2 (WebAuthn) pour accès à leur compte, ce qui sécurise le processus de connexion. Le processus est également plus rapide, car l'utilisateur n'a pas à saisir manuellement son nom d'utilisateur, à sélectionner les authenticators et à répondre à l'invite de MFA .

Les utilisateurs peuvent inscrire une clé d'accès dans Okta End-User Dashboard, sous ParamètresMéthodes de sécuritéConfigurer une autre clé de sécurité ou authenticator biométrique.

Si une clé d'accès n'apparaît pas dans la liste, l'utilisateur peut sélectionner l'option pour utiliser une autre clé d'accès et réessayer.

Les clés de sécurité n'apparaissent pas automatiquement dans la liste de remplissage automatique du navigateur. L'utilisateur doit manuellement cliquer sur l'option utiliser une clé d'accès différente, insérer sa clé de sécurité, puis suivre les invites.

Ne désinscrivez pas une clé de sécurité préenregistrée. Si l' utilisateur est invité à essayer une autre clé, il doit supprimer l'inscription existante de la clé de sécurité, puis réinscrire la clé depuis le Okta End-User Dashboard.

Si vous désactivez cette fonctionnalité, les clés d'accès n'apparaissent pas dans le champ Nom d'utilisateur . Au lieu de cela, les utilisateurs doivent saisir leur nom d'utilisateur, puis sélectionner des méthodes de sécurité lorsqu'ils se connectent.

Les utilisateurs de Mac peuvent avoir besoin d'un compte iCloud pour utiliser les clés d'accès biométriques sur Safari et Firefox.

Le remplissage automatique des clés d'accès ne fonctionne pas si vous utilisez le flux avec mot de passe en premier dans le Sign-In Widget.

Rubriques liées

Comportement et support FIDO2 (WebAuthn)

Inscription d'un authentificateur résistant à l'hameçonnage