Configurer les contrôles d'accès pour les clés d'accès (FIDO2 WebAuthn)

Gérer les authentificateurs et les politiques pour les clés d'accès (FIDO2 WebAuthn).

Vérification utilisateur

Cela ajoute une vérification supplémentaire, comme une empreinte digitale, un scan du visage ou le code PIN de l'appareil, pour vérifier l'utilisateur. Cette vérification a lieu sur l'appareil de l'utilisateur, afin que ses données biométriques restent sur cet appareil.

  • Vous pouvez également exiger cela dans vos politiques de connexion aux applications et dans vos règles de politiques Okta Account Management. En cas de conflit de paramètres, l'option la plus sécurisée est toujours utilisée.

  • Si Créer des clés d'accès est activé, définir la vérification de l'utilisateur sur Déconseillée à la fois pour Enrôlement et Authentification peut empêcher les identifiants de clé d'accès d'être émis sur certains navigateurs.

Inscription

Sélectionnez l'une des options suivantes. Cela s'applique lorsqu'un utilisateur crée une clé d'accès.

  • Obligatoire : les utilisateurs sont invités à saisir une empreinte digitale, un scan de leur visage ou un code PIN pour créer une clé d'accès. Si leur appareil ne permet pas de le faire, l'enrôlement échoue.

  • Privilégiée (par défaut) : les utilisateurs sont invités à saisir une empreinte digitale, un scan de leur visage ou un code PIN. Ils peuvent toujours effectuer l'enrôlement si leur appareil ne prend pas en charge ces fonctions.

  • Déconseillée : les utilisateurs ne sont pas invités à effectuer de vérification. Utilisez cette option uniquement lorsqu'une autre étape de connexion fournit une sécurité suffisante.

    Certains navigateurs et authentificateurs ignorent ce paramètre.

Authentification

Sélectionnez l'une des options suivantes. Ceci s'applique lorsqu'un utilisateur se connecte avec une clé d'accès.

  • Obligatoire : les utilisateurs sont invités à saisir leur empreinte digitale, leur visage ou leur code PIN chaque fois qu'ils se connectent. Il s'agit de l'option la plus sécurisée.

  • Privilégiée (par défaut) : les utilisateurs sont invités à saisir une empreinte digitale, un scan de leur visage ou un code PIN. Ils peuvent toujours se connecter si leur appareil ne prend pas en charge ces fonctions.

  • Déconseillée : les utilisateurs ne sont pas invités à effectuer de vérification à la connexion. Il s'agit de la méthode la plus rapide pour les utilisateurs, mais elle est moins sécurisée.

    Certains navigateurs et authentificateurs ignorent ce paramètre.

Bloquer les clés d'accès synchronisées

Les clés d'accès permettent des sauvegarder les identifiants WebAuthn et de les synchroniser entre les appareils. Les clés d'accès utilisent le modèle authentification forte basé sur les clés ou protégé contre le hameçonnage de Clés d'accès (FIDO2 WebAuthn). Cependant, ils ne disposent pas de certaines fonctionnalités de sécurité d'entreprise, telles que les clés et les attestations liées à l'appareil, qui sont disponibles avec certaines Clés d'accès pour l'authentificateur (FIDO2 WebAuthn).

Dans les environnements d'appareils gérés, les utilisateurs peuvent être en mesure d'inscrire des appareils non gérés aux informations d'identification d'une clé d'accès et d'utiliser ces appareils pour s'authentifier. Okta permet aux administrateurs de bloquer l'utilisation de clés d'accès pour les nouveaux enrôlements des Clés d'accès (FIDO2 WebAuthn) pour l'ensemble de leur org. Lorsque cette fonctionnalité est activée, les utilisateurs ne pourront pas inscrire de nouveaux appareils non gérés à l'aide de clés d'accès préenregistrées. Les clés d'accès sur Chrome sur macOS sont liées à l'appareil et ne sont pas bloquées.

Pour bloquer les clés d'accès synchronisées, activez Bloquer les clés d'accès synchronisées.

Si votre org a activé la fonctionnalité en accès anticipé Bloquer les clés d'accès synchronisés pour les authentificateurs FIDO2 (WebAuthn), cette option est en lecture seule, sauf si vous désactivez la fonctionnalité.

Il ne s'agit pas d'une vérification basée sur une attestation. Certains authentificateurs peuvent déclarer créer des clés liées à un appareil alors qu'elles sont en fait synchronisables. Ce paramètre bloque les authentificateurs connus pour créer des clés d'accès synchronisables, comme ceux qui sont stockés dans des gestionnaires de mot de passe tels que le Gestionnaire de mots de passe de Google, le trousseau iCloud et 1Password.

Caractéristiques obligatoires

Vous pouvez exiger une validation d'attestation basée sur un certificat pour l'authentificateur par clés d'accès (FIDO2 WebAuthn). Si ce paramètre est activé, le certificat d'authentificateur fourni doit être validé par rapport au certificat associé dans le MDS FIDO ou à un certificat de validation AAGUID personnalisé chargé par l'administrateur Okta.

Ces options s'appliquent à la fois à l'enrôlement et à l'authentification.

  • Validation d'attestation basée sur un certificat : vérifie que la clé d'accès a été créée sur un appareil authentique et de confiance (comme une clé de sécurité certifiée).

  • Protection matérielle : exige que la clé d'accès soit stockée sur du matériel d'appareil sécurisé, tel que TPM ou Secure Enclave. Il s'agit de la même exigence que celle relative aux politiques de connexion aux applications, mais appliquée pour les enrôlements et authentification par clé d'accès.

  • Conforme FIPS : nécessite que l'authentificateur soit conforme à la norme FIPS (Federal Information Processing Standards).