Configurer Desktop MFA pour macOS afin d'utiliser les clés FIDO2

La configuration d'un authentificateur FIDO2 (WebAuthn) permet aux utilisateurs de se connecter de manière sécurisée à leurs appareils avec une clé de sécurité.

Ces clés peuvent être enregistrées via l'Admin Console, ou l'utilisateur peut enregistrer sa clé dans l'Okta End-User Dashboard.

Sinon, Yubico peut livrer la YubiKey directement aux nouveaux utilisateurs, en la préinscrivant avec les données de l'utilisateur et la configuration de votre org.

Prise en charge des codes PIN

Desktop MFA pour macOS prend en charge les clés de sécurité FIDO2 avec ou sans code PIN ou empreinte digitale.

Si vous activez la vérification de l'utilisateur par données biométriques dans votre politique de connexion aux applications, les utilisateurs peuvent vérifier leur identité avec la clé FIDO2 tant que vous activez également la vérification de l'utilisateur dans les paramètres FIDO2 (WebAuthn).

Pour utiliser une YubiKey avec un code PIN et des données biométriques, configurez la Vérification d'utilisateur sur Obligatoire dans les paramètres de l'authentificateur FIDO2 (WebAuthn) et dans votre politique de connexion aux applications. Consultez Politiques de connexion aux applications.

Tâches

Configurer l'authentificateur FIDO2 (WebAuthn)

Pour permettre aux utilisateurs de s'authentifier avec une clé FIDO2, configurez l'authentificateur FIDO2 (WebAuthn) dans l'Admin Console.

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateur.

    Si vous avez déjà ajouté l'authentificateur FIDO2 (WebAuthn), vous ne pouvez pas en rajouter un autre. Assurez-vous que les paramètres de l'authentificateur FIDO2 (WebAuthn) existant sont appropriés pour votre org.

  2. Cliquez sur Ajouter un authentificateur.

  3. Dans la liste des authentificateurs, cliquez sur Ajouter sous FIDO2 (WebAuthn).

  4. Sur la page Paramètres généraux, cliquez sur Modifier.

  5. Dans Paramètres, utilisez le menu déroulant pour sélectionner une méthode de vérification de l'utilisateur. Examinez le contenu sous le paramètre pour en savoir plus sur ce que fait chaque type de vérification de l'utilisateur.

    La valeur Obligatoire est recommandée si vous souhaitez que les clés FIDO2 exigent un code PIN ou des données biométriques pour authentifier l'utilisateur.

  6. Cliquez sur Enregistrer.

Après avoir configuré l'authentificateur FIDO2 (WebAuthn), configurez individuellement la YubiKey pour chaque utilisateur. Les utilisateurs peuvent également finaliser l'enregistrement eux-mêmes. Consultez Un utilisateur enregistre sa propre clé FIDO2.

Configurer les clés FIDO2

Il existe trois façons de préparer une clé FIDO2 pour vos utilisateurs. Choisissez la méthode d'enregistrement adaptée pour votre org :

Choisissez la méthode d'inscription qui correspond le mieux à votre org.

Enregistrer une clé FIDO2 au nom d'un utilisateur

  1. Dans l'Admin Console, accédez à DirectoryPersonnes.

  2. Cliquez sur un utilisateur pour ouvrir son profil.

  3. Cliquez sur Plus d'actions et choisissez Inscrire une clé de sécurité FIDO2 dans la liste.

  4. Insérez la clé FIDO2 dans un port de votre ordinateur et cliquez sur S'inscrire.

  5. Suivez les instructions jusqu'à ce que vous receviez la confirmation que la clé FIDO2 a bien été inscrite pour l'utilisateur.

  6. Transmettez la clé FIDO2 à l'utilisateur approprié.

Les administrateurs ne peuvent pas configurer la biométrie sur les clés FIDO2 pour les utilisateurs. Un message push refusé s'affiche si la Vérification d'utilisateur par biométrie est requise dans votre politique de connexion aux applications et que la Vérification d'utilisateur n'est pas activée durant l'enrôlement Okta Verify. L'utilisateur voit ce message lorsqu'il sélectionne un facteur de vérification. Les utilisateurs peuvent modifier ce paramètre dans leur Okta End-User Dashboard.

Un utilisateur enregistre sa propre clé FIDO2

Si un utilisateur reçoit une clé de sécurité FIDO2, il peut enregistrer la clé en utilisant l'Okta End-User Dashboard. Encouragez vos utilisateurs à configurer la clé de sécurité avec des données biométriques pour plus de sécurité.

  1. Connectez-vous au Okta End-User Dashboard.

  2. Cliquez sur votre nom dans le coin supérieur droit et sélectionnez Paramètres.

  3. Sous Méthodes de sécurité, localisez l'option Clé de sécurité ou authentificateur biométrique et cliquez sur Configuration supplémentaire.

  4. Vérifiez votre identité à l'aide de l'une des options présentées, puis cliquez sur Configurer.

  5. Suivez les invites pour enregistrer la clé FIDO2 sur votre compte Okta.

Une fois que les utilisateurs ont réussi à enregistrer la clé de sécurité, ils peuvent insérer la clé FIDO2 dans l'appareil macOS et vérifier leur identité en suivant les invites à l'écran.

Lorsque les utilisateurs enrôlent le facteur FIDO2, ils sont limités à l'URL utilisée. Par exemple, si les utilisateurs enrôlent le facteur FIDO2 sur votre URL orgname.okta.com, le facteur ne permet l'accès à votre org qu'avec cette même URL orgname.okta.com. Si les utilisateurs inscrivent le facteur FIDO2 en utilisant l'URL personnalisée pour votre org, le facteur ne permet d'accéder à votre org qu'avec l'URL personnalisée.

Les administrateurs doivent configurer Desktop MFA afin qu'il utilise le même domaine que celui dans lequel les utilisateurs ont enrôlé le facteur authentification FIDO2.

Facultatif : Ajuster le mode de restriction USB sur les appareils dotés d'une puce Apple

Pour les ordinateurs dotés d'une puce Apple exécutant macOS 14 Sonoma ou une version ultérieure, Apple a introduit un paramètre Mode de restriction USB. Ce paramètre détermine si des appareils USB nouveaux ou inconnus, y compris les clés YubiKey et FIDO2, sont autorisés à se connecter. Par défaut, le mode de restriction USB est défini sur Demander pour les nouveaux accessoires. La modification de ce paramètre change la façon dont vos utilisateurs peuvent vérifier leur identité à l'aide des clés de sécurité enregistrées.

Les paramètres disponibles pour le mode de restriction USB sont les suivants :

  • Demander à chaque fois : les utilisateurs ne peuvent pas utiliser une clé FIDO2 à moins que l'un des événements suivants ne se produise :

    • La clé a été approuvée pour la connexion au cours des trois derniers jours.

    • La clé n'a pas été supprimée de l'ordinateur.

    • L'ordinateur n'a pas été redémarré depuis que la clé a été approuvée pour la connexion.

  • Demander pour les nouveaux accessoires : les utilisateurs ne peuvent pas utiliser une clé FIDO2 à moins que la clé n'ait été approuvée pour la connexion au cours des trois derniers jours.

  • Automatiquement au déverrouillage : les utilisateurs ne peuvent pas utiliser une clé FIDO2 à moins que la clé n'ait été approuvée pour la connexion au cours des trois derniers jours.

  • Toujours : les utilisateurs peuvent utiliser une clé FIDO2.

Vous pouvez modifier le mode de restriction USB avec votre MDM. Consultez l'aide Apple sur le mode de restriction.

Étapes suivantes

Soutenir vos utilisateurs de Desktop MFA macOS