Créer une partie utilisatrice FIDO pour WebAuthn

Introduction

Dans ce guide, vous apprendrez à créer une définition de Relying Party FIDO2 à utiliser avec l'API du navigateur WebAuthn. Une définition de Relying Party est nécessaire pour chaque site web (domaine DNS de premier niveau) où vous voulez que les utilisateurs puissent s'enregistrer et s'authentifier avec des authentificateurs FIDO2.

👍

Partie utilisatrice prédéfinie

Un locataire IBM Security Verify est livré avec une définition prédéfinie de la partie utilisatrice FIDO2 qui couvre le domaine DNS du locataire lui-même. Cela permet l'authentification FIDO2 pour les interfaces web du locataire et toute application intégrée via l'authentification unique du navigateur.

Des définitions supplémentaires de parties utilisatrices sont nécessaires pour permettre aux applications web personnalisées intégrées à IBM Security Verify de prendre en charge l'enregistrement et l'authentification directs avec des authentificateurs FIDO2 basés sur WebAuthn.

Prérequis

Il n'y a pas de conditions préalables à la création d'une définition de partie utilisatrice FIDO2.

Collecte d'informations

Les éléments suivants sont nécessaires pour compléter ce guide :

ItemExemple de valeur/format
Domaine DNS de la partie utilisatriceexample.com
URL où les authentificateurs peuvent être enregistrés et/ou utiliséshttps://www.example.com
https://login.example.com:9443
(optional) Metadata files from authenticator vendorsJSON-formatted files (.json ou .yubico)

🚧

localhost ne peut pas être utilisé

Vous ne pouvez pas utiliser localhost comme domaine DNS pour le Relying Party FIDO2. Si vous mettez en place une application de test, vous pouvez utiliser un fichier hosts local pour associer un faux nom d'hôte qualifié à votre système de test.

Naviguer vers FIDO2 Settings

Dans l'interface d'administration, accédez à la page Sécurité et sélectionnez l'onglet FIDO2.
Sélectionnez le bouton Relying Parties +.

1464

Navigation

Définir la partie utilisatrice

Nom d'affichage

Il s'agit d'un nom lisible par l'homme, utilisé uniquement pour l'administration et les rapports.

Identificateur de partie utilisatrice

L'identifiant de la partie utilisatrice doit être un domaine DNS qui couvre toutes les origines où FIDO2 sera utilisé sur le site couvert par cette définition. Il s'agit généralement du domaine DNS du site (par exemple, example.com), mais il peut s'agir d'un sous-domaine (par exemple, sales.example.com) si vous souhaitez limiter le champ d'application de la partie utilisatrice.

Appareils

Si vous avez chargé des métadonnées, vous pouvez indiquer ici quels fichiers de métadonnées sont valables pour ce Relying Party. En général, vous utiliserez l'option Inclure toutes les métadonnées de l'appareil plutôt que d'imposer des restrictions sur les types d'authentificateurs pouvant être enregistrés.

Critères de l'appareil

Si vous avez chargé des métadonnées, vous pouvez imposer la validation des certificats d'attestation de l'appareil par rapport aux fichiers de métadonnées que vous avez activés dans cette définition. Utilisez cette option pour limiter les types d'authentificateur pouvant être utilisés.

Origines autorisées

Pour WebAuthn, il s'agit des URL de base où les authentificateurs FIDO2 peuvent être enregistrés et utilisés. Le schéma doit être https. Chaque URL origine doit relever du domaine DNS défini comme identifiant de la partie utilisatrice. Le port doit être inclus s'il n'est pas 443.

📘

Identifiant de la partie utilisatrice et origines

Pour plus d'informations sur les exigences et la relation entre l'identifiant de la partie utilisatrice et les origines, veuillez consulter https://www.w3.org/TR/webauthn.

Pour chaque origine, saisissez l'URL et sélectionnez le bouton Ajouter. Les origines ajoutées s'affichent dans la liste URL.

Lorsque vous avez terminé, sélectionnez Sauvegarder.

1464

Relying Party definition