Examiner et gérer les MDS FIDO et les authenticators personnalisés

Recherchez la liste des identifiants globaux et uniques (AAGUID) de l'authenticator du service de métadonnées (MDS) pour voir les authenticators que vous pouvez utiliser avec Okta. Les listes affichent le numéro AAGUID pour chaque authenticator, son type, le statut de conformité FIPS et le statut de protection du matériel. Ils vous aident à identifier les authenticators compatibles avec votre environnement, à fournir les fonctionnalités de protection dont vous avez besoin et à se conformer à vos normes de sécurité.

Si votre authentificateur n'apparaît pas dans la liste FIDO MDS AAGUID, vous pouvez l'ajouter à la liste des AAGUID personnalisée. Lorsque vous ajoutez une entrée à la liste AAGUID personnalisée qui figure déjà dans la liste FIDO MDS AAGUID, l'entrée personnalisée remplace l'entrée MDS FIDO.

Vous pouvez télécharger la liste depuis le site Web de l'organisation FIDO. Consultez FIDO ALLIance Metadata Service. Vous pouvez uniquement voir les listes FIDO MDS AAGUID et AAGUID personnalisé dans Okta après avoir ajouté les clés d'accès pour l'authentificateur (FIDO2 WebAuthn).

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration, cliquez sur Actions dans la ligne Clés d'accès (FIDO2 WebAuthn).
  3. Sélectionnez Liste des AAGUID.
  4. Pour rechercher un authenticator compatible avec Okta, saisissez un nom authenticator ou un numéro AAGUID dans le champ Rechercher de la section Liste FIDO MDS AAGUID. Saisissez les mêmes critères dans le champ Rechercher de la section AAGUID personnalisé s'il n'apparaît pas dans la liste FIDO MDS AAGUID.
  5. Si votre authenticator n'apparaît dans aucune de ces listes, cliquez sur Ajouter un AAGUID personnalisé. Renseignez les champs suivants :
    • Nom : saisissez un nom pour votre authenticator personnalisé.
    • AAGUID : saisissez le numéro AAGUID pour votre authenticator personnalisé.
    • Activer l'attestation avec un certificat de validation d'attestation : sélectionnez cette option pour utiliser l'attestation basée sur un certificat. Si vous chargez un certificat ici, Okta place votre certificat sur l'authenticator personnalisé de l'utilisateur. Si vous ne chargez pas de certificat, d'autres options s'affichent :
      • Charger le certificat : glisser et déposer votre certificat de validation d'attestation dans la zone de téléversement, ou cliquez sur Téléverser un fichier, puis sélectionnez le certificat dans le navigateur de fichiers.
      • Caractéristiques : sélectionnez les caractéristiques qui s'appliquent à votre authenticator personnalisé (Protégé de façon matérielle, Conforme FIPS, et Authentificateur d'itinérance).
  6. Cliquez sur Enregistrer.
  7. Pour modifier ou supprimer un authenticator personnalisé, cliquez sur son menu déroulant Actions . Sélectionnez Modifier ou Supprimer. Si l'AAGUID personnalisé est utilisé dans un groupe authenticator WebAuthn, vous devez le retirer du groupe avant de pouvoir le supprimer.

Inscrire une clé de sécurité FIDO2 pour un utilisateur

Les administrateurs peuvent inscrire une clé de sécurité au nom d'un utilisateur faisant partie du répertoire Okta. Cela vous permet de provisionner des clés de sécurité, ainsi que des ordinateurs portables et des téléphones mobiles, dans le cadre de l'intégration des employés.

  1. Dans l'Admin Console, accédez à RépertoirePersonnes.

  2. Dans le champ Recherche, saisissez le nom d'utilisateur, puis appuyez sur la touche Entrée. Ou bien, cliquez sur Voir tous les utilisateurs, trouvez l'utilisateur dans la liste, et cliquez sur son nom.
  3. Dans le menu Plus d'Actions, sélectionnez Inscrire une clé de sécurité FIDO2.
  4. Cliquez sur S'inscrire. La page Inscription à la sécurité WebAuthn s'affiche.
  5. Si votre navigateur affiche Créer une clé d'accès pour connexion à <org name> ? cliquez sur Annuler pour revenir à la page Inscription à la sécurité WebAuthn .
  6. Suivez les instructions de votre navigateur.
  7. Lorsque l'invite Autoriser ce site à voir votre clé de sécurité ? s'affiche, cliquez sur Autoriser.
  8. Cliquez sur Fermer ou Inscrire quelqu'un d'autre.