FIDO

À partir de la version 2.8, ESET Secure Authentication (ESA) prend en charge l’authentification à 2 facteurs sur les appareils prenant en charge les normes d’authentification FIDO2 (et FIDO U2F). Voir plus d’informations sur la norme FIDO.

Configuration requise

•Navigateur Web prenant en charge l’API d’authentification Web

oMozilla Firefox

oGoogle Chrome

oMicrosoft Edge

Pour obtenir des informations à jour sur les navigateurs pris en charge, consultez https://platform-status.mozilla.org/ et recherchez « API d’authentification Web ».

•Connexion sécurisée (HTTPS) (des certificats auto-signés peuvent également être utilisés)

•.NET Framework 4.7.2 installé sur l’ordinateur sur lequel le serveur d’authentification ESA est installé

Environnement pris en charge

•Environnement de connexion Web protégé par ESA :

oERA Web Console

oIIS

oAD FS

oConnecteur de fournisseur d’identité

•Protection de connexion Windows

Configuration dans ESA Web Console

La configuration dans Settings (Paramètres) > FIDO est destinée aux administrateurs FIDO avancés. Il n’est pas nécessaire d’apporter des modifications à cette section.

•Vérification de l’utilisateur

oObligatoire : l’authentificateur compatible FIDO doit prendre en charge la vérification de l’utilisateur (par exemple, par biométrie ou code PIN). S’il n’y a pas de vérification de l’utilisateur, l’authentificateur compatible FIDO ne peut pas être utilisé comme deuxième facteur d’authentification.

oPréférable : il est préférable que l’authentificateur compatible FIDO prenne en charge la vérification de l’utilisateur, mais ce n’est pas essentiel.

oDéconseillé : le fait que l’authentificateur compatible FIDO prenne en charge ou non la vérification de l’utilisateur n’a pas d’importance.

•Type d’authentification

oPlateforme (intégré) : l’authentificateur FIDO est une solution intégrée (logicielle, matérielle) sur l’appareil où il est utilisé comme deuxième facteur d’authentification.

oMultiplateforme (itinérant) : l’authentificateur FIDO est détachable et peut être utilisé avec plusieurs appareils.

oNon spécifié : le fait que l’authentificateur FIDO soit détachable ou non n’a pas d’importance.

Enregistrer l’origine FIDO

Si vous souhaitez utiliser FIDO comme second facteur d’authentification afin d’accéder à ESA Web Console disponible à l’adresse https://my-web-console.com:8001, https://my-web-console.com:8001 doit être enregistrée en tant qu’origine.

1.Dans ESA Web Console, accédez à Components (Composants) > Web Console.

2.Activer FIDO.

3.Saisissez l’URL ESA Web Console dans la fenêtre FIDO Origin (Origine FIDO). Dans notre exemple, https://my-web-console.com:8001.

4.Cliquez sur Apply (Appliquer) > Save (Enregistrer).

Activer FIDO pour un administrateur Web Console

Dans notre exemple, nous activons FIDO comme deuxième facteur pour un administrateur ESA Web Console qui souhaite utiliser une clé USB FIDO en tant qu’authentificateur matériel.

1.Accédez à Settings (Paramètres) > Web Console Administrators (Administrateurs Web Console), cliquez sur le nom de l’administrateur.

2.Dans le profil de l’utilisateur, activez FIDO.

3.Branchez la clé USB FIDO à l’ordinateur sur lequel vous avez accédé à ESA Web Console.

4.Cliquez sur Actions, puis sur Register FIDO credentials (Enregistrer les identifiants FIDO) > Apply (Appliquer).

5.Lorsque la clé USB clignote, touchez le capteur tactile de la clé USB FIDO.

6.ESA Web Console confirmera l’enregistrement réussi des identifiants FIDO.

Dorénavant, lorsqu’il tentera d’accéder à ESA Web Console, l’administrateur devra approuver l’authentification en appuyant sur la clé USB FIDO après avoir tapé les identifiants de connexion corrects.

Activer FIDO pour un utilisateur

1.Accédez à Settings (Paramètres) > Enrollment (Inscription).

2.Activez FIDO, puis cliquez sur Save (Enregistrer).

3.Accédez à Users (Utilisateurs) et sélectionnez l’utilisateur concerné.

4.Activez FIDO, puis cliquez sur Save (Enregistrer).

5.L’utilisateur devra terminer la configuration lors de l’auto-inscription.

˄˅