Passer au contenu principal
Pour découvrir WebAuthn et la façon dont Auth0 l’implémente à la fois pour les clés de sécurité et la biométrie de l’appareil, consultez Authentification FIDO avec WebAuthn.

La disponibilité varie selon le forfait Auth0

La disponibilité de cette fonctionnalité dépend à la fois de votre implémentation de connexion et de votre forfait Auth0 ou de votre entente personnalisée. Pour en savoir plus, consultez la page Tarification.
Si vous devez configurer un domaine personnalisé, faites-le avant de déployer WebAuthn dans un environnement de production. Si vous configurez ou modifiez un domaine personnalisé, les utilisateurs déjà inscrits ne pourront plus s’authentifier.Vous pouvez utiliser le paramètre Partie de confiance pour préciser le domaine utilisé pour authentifier les utilisateurs.

Utiliser le tableau de bord

  1. Activez WebAuthn with Security Keys en accédant à Dashboard > Security > Multi-factor Auth.
  2. Configurez la façon dont vous voulez gérer le paramètre User Verification. Avec les clés de sécurité, la vérification de l’utilisateur invite généralement les utilisateurs à saisir un NIP pour terminer le défi WebAuthn.
    1. Never : les utilisateurs ne seront jamais invités à saisir un NIP. Il s’agit de la valeur par défaut, et elle est généralement suffisante lorsque vous utilisez des clés de sécurité pour la MFA. Les utilisateurs ont déjà saisi leur mot de passe; ils ont donc déjà fourni un certain niveau de vérification.
    2. If supported : les utilisateurs seront invités à saisir un NIP s’ils en ont déjà configuré un sur la clé.
    3. Required : les utilisateurs devront configurer un NIP s’il n’est pas déjà défini, puis le saisir chaque fois. C’est l’option qui offre le niveau de sécurité le plus élevé. Certains navigateurs n’implémentent pas cette option correctement (par exemple, Brave sur iOS). L’authentification échouera alors, et Auth0 demandera aux utilisateurs d’utiliser un autre navigateur.
Notez que seules les clés de sécurité conformes à FIDO-2 prennent en charge la vérification de l’utilisateur. Les clés FIDO-1 peuvent être utilisées avec WebAuthn, mais ne peuvent pas être utilisées si vous réglez User Verification sur Required.

Configurer la partie de confiance

WebAuthn rend l’hameçonnage impossible en associant les identifiants à l’origine du navigateur. Les utilisateurs ne peuvent pas non plus utiliser WebAuthn sur un site pour lequel ils ne se sont pas inscrits. Le fait d’associer les identifiants à l’origine signifie que si vous configurez un ou si vous le modifiez, les utilisateurs inscrits avant ce changement ne pourront plus s’authentifier. WebAuthn définit un attribut d’ID de partie de confiance, qui vous permet de préciser le domaine utilisé pour authentifier les utilisateurs. Vous pouvez le définir sur n’importe quel suffixe de domaine enregistrable de l’origine du navigateur. Par exemple, si le domaine personnalisé est login.example.com, vous pouvez configurer l’ID de la sur example.com. Les utilisateurs peuvent ainsi s’authentifier sur n’importe quel domaine example.com avec leurs identifiants WebAuthn. Auth0 vous permet de préciser l’ID de la partie de confiance uniquement si un domaine personnalisé est configuré. Si le domaine personnalisé change, vous devez mettre à jour l’ID de la partie de confiance.

Compatibilité des appareils

Pour utiliser des clés de sécurité, un navigateur doit avoir JavaScript activé et prendre en charge WebAuthn. Si ces conditions ne sont pas remplies, Auth0 n’offrira pas l’option d’inscription ou d’authentification avec des clés de sécurité. Auth0 demandera alors un autre facteur ou un code de récupération (si aucun autre facteur n’est déjà inscrit). Les versions les plus récentes des navigateurs et systèmes d’exploitation courants prennent en charge WebAuthn avec des clés de sécurité. Pour en savoir plus, consultez la section sur la compatibilité des navigateurs dans webauthn.me.

Limitations

  • Lorsque vous utilisez l’API MFA, vous pouvez répertorier et supprimer les inscriptions WebAuthn, mais vous ne pouvez pas en inscrire de nouvelles.

En savoir plus