La disponibilité de cette fonctionnalité dépend à la fois de votre implémentation de connexion et de votre forfait Auth0 ou de votre entente personnalisée. Pour en savoir plus, consultez la page Tarification.
Si vous devez configurer un domaine personnalisé, faites-le avant de déployer WebAuthn en production. Si vous configurez ou modifiez un domaine personnalisé, les utilisateurs déjà inscrits ne pourront pas s’authentifier.Vous pouvez utiliser le paramètre Relying Party pour préciser le domaine utilisé pour authentifier les utilisateurs.
WebAuthn rend l’hameçonnage impossible en liant les identifiants à l’origine du navigateur. Les utilisateurs ne peuvent pas non plus utiliser WebAuthn pour un site auquel ils ne se sont pas inscrits.Comme les identifiants sont liés à l’origine, si vous configurez un ou que vous le modifiez, les utilisateurs inscrits avant ce changement ne pourront pas s’authentifier.WebAuthn définit un attribut d’ID de Relying Party, qui vous permet de préciser le domaine utilisé pour authentifier les utilisateurs. Vous pouvez le définir sur n’importe quel suffixe de domaine enregistrable de l’origine du navigateur. Par exemple, si le domaine personnalisé est login.example.com, vous pouvez configurer l’ID du à example.com. Les utilisateurs peuvent ainsi s’authentifier sur n’importe quel domaine example.com avec leurs identifiants WebAuthn.Auth0 vous permet de préciser l’ID du Relying Party uniquement si un domaine personnalisé est configuré. Si le domaine personnalisé change, vous devez mettre à jour l’ID du Relying Party.
Lorsque vous activez WebAuthn avec la biométrie de l’appareil, Auth0 tente d’inscrire progressivement tous les appareils d’un utilisateur final compatibles avec WebAuthn. Les navigateurs dans lesquels JavaScript est désactivé ou qui ne prennent pas en charge un authentificateur de plateforme WebAuthn n’auront pas la possibilité de s’inscrire ni de s’authentifier avec la biométrie de l’appareil.Comme il n’existe aucun moyen déterministe de savoir si un appareil précis a été inscrit ou non sans demander à l’utilisateur d’effectuer une authentification WebAuthn, Auth0 s’appuie sur l’agent utilisateur pour décider quoi faire. Le comportement dépend du système d’exploitation.
Dans le scénario le plus courant, où les utilisateurs utilisent toujours le même navigateur et disposent d’un appareil mobile et d’un ordinateur portable ou de bureau, les nuances de comportement décrites ci-dessous n’auront pas d’incidence sur l’expérience utilisateur.
Sous Windows et iOS 14.5+, l’authentificateur de plateforme WebAuthn est enregistré au niveau du système d’exploitation. Les utilisateurs peuvent s’inscrire avec un navigateur et se connecter avec n’importe lequel. Si Auth0 détecte qu’un appareil est inscrit, l’option d’authentification avec Face ID / Touch ID / Windows Hello leur sera proposée. S’ils se sont inscrits avec ce même appareil, ils pourront s’authentifier. Sinon, l’authentification échouera et ils devront utiliser une autre méthode d’authentification.
Sur Mac, l’authentificateur de plateforme WebAuthn est enregistré au niveau système du navigateur. Les utilisateurs devront s’inscrire à WebAuthn dans chaque navigateur qu’ils utilisent. Si Auth0 détecte que l’utilisateur s’est inscrit depuis Chrome sur un Mac, il pourra s’authentifier avec Touch ID lorsqu’il se connectera depuis Chrome sur un Mac. S’il s’est inscrit sur ce même Mac, il pourra s’authentifier. Sinon, l’authentification échouera et il devra utiliser une autre méthode d’authentification. S’il essaie de s’inscrire depuis Safari sur ce même Mac, il devra d’abord effectuer l’ avec l’autre méthode d’authentification, puis sera invité à s’inscrire avec Touch ID.
Sur Android, seul Chrome prend en charge les authentificateurs de plateforme WebAuthn. Si Auth0 détecte que des utilisateurs ont un appareil Android inscrit, ils pourront s’authentifier à l’aide de la reconnaissance d’empreinte digitale ou faciale d’Android. S’ils se sont inscrits avec ce même appareil Android, l’authentification fonctionnera. Sinon, elle échouera et ils devront utiliser une autre méthode d’authentification.
L’utilisateur doit déjà avoir activé une autre méthode MFA avant de pouvoir utiliser les données biométriques de l’appareil.Pour utiliser les clés biométriques de l’appareil, un navigateur doit avoir JavaScript activé et prendre en charge les authentificateurs de plateforme WebAuthn. Si ces conditions ne sont pas remplies, Auth0 n’offrira pas l’option d’inscrire l’appareil ni de s’authentifier avec celui-ci. Auth0 demandera alors à l’utilisateur d’utiliser un autre facteur.Les versions récentes des navigateurs et des systèmes d’exploitation les plus courants prennent en charge WebAuthn avec des clés de sécurité. Pour en savoir plus, consultez la section sur la prise en charge des navigateurs dans webauthn.me.
Il n’existe aucun moyen d’inscrire un appareil à l’aide des données biométriques WebAuthn en dehors de l’invite Progressive Enrollment.
Lorsque vous utilisez l’API MFA, vous pouvez afficher la liste des inscriptions WebAuthn et les supprimer, mais vous ne pouvez pas en créer.
Les utilisateurs ne peuvent inscrire qu’un seul appareil par type avec WebAuthn avec la biométrie de l’appareil (un téléphone, une tablette, un portable ou un ordinateur de bureau). Si un utilisateur veut inscrire un autre appareil du même type, le premier appareil doit d’abord être désinscrit.
Auth0 maintient webauthn.me, qui propose des renseignements détaillés sur WebAuthn ainsi qu’une liste à jour des navigateurs qui prennent en charge WebAuthn.
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme