support et comportement Passkeys (FIDO2 WebAuthn)
Passkeys (FIDO2 WebAuthn) est pris en charge sur la plupart des navigateurs Web et systèmes d’exploitation. Okta utilise les API navigateur standard pour l’enrôlement et l’authentification.
Clés de sécurité
Tous les navigateurs majeurs prennent en charge la version 2 du protocole Client vers authentificateur (CTAP2). CTAP2 avec code PIN est pris en charge sur Chrome si l’authentificateur a un code PIN enregistré.
Si vous supprimez une clé de sécurité, les enrôlements WebAuthn existants dans Okta et sur les authentificateurs de plateforme, tels que Touch ID et Windows Hello, sont invalidés.
Si vous utilisez des groupes Authenticator, l'inscription d'une clé de sécurité via FIDO U2F (second facteur universel) n'est pas prise en charge. Les utilisateurs doivent autoriser Okta à voir la marque et le modèle de la clé de sécurité si cela est demandé pendant l’enrôlement de la clé.
Edge
Sur Edge, l’enrôlement dans WebAuthn avec reconnaissance faciale ou code PIN enrôle également d’autres méthodes d’authentification, telles qu’une empreinte.
Chrome
Chrome affiche par défaut les authentificateurs de plateforme lorsque les authentificateurs de plateforme et nomades sont enrôlés et disponibles.
Lorsque vous effacez mots de passe, cookies et autres données de connexion dans Chrome, vous retirez l’authentificateur de plateforme WebAuthn du profil Chrome. Cela supprime également l’enrôlement de l’authentificateur du compte Okta.
Réinitialiser Apple Touch ID pour Chrome invalide les enrôlements Touch ID WebAuthn existants dans Okta.
Désactiver Apple Touch ID dans Chrome empêche les futurs enrôlements de Touch ID WebAuthn tant que Touch ID n’est pas configuré à nouveau.
Windows
Si Vérification utilisateur est défini sur Préféré, Windows impose un code PIN pour les authentificateurs CTAP2 avec code PIN même s’il n’est pas configuré.
L’utilisateur doit configurer un code PIN pour chaque authentificateur Clés d'accès (FIDO2 WebAuthn) enrôlé dans son Okta End-User Dashboard sous .
Sur d’autres systèmes d’exploitation, le paramètre Préféré n’impose un code PIN que s’il est configuré sur l’authentificateur.