Créer une partie utilisatrice FIDO pour WebAuthn
Introduction
Dans ce guide, vous apprendrez à créer une définition de Relying Party FIDO2 à utiliser avec l'API du navigateur WebAuthn. Une définition de Relying Party est nécessaire pour chaque site web (domaine DNS de premier niveau) où vous voulez que les utilisateurs puissent s'enregistrer et s'authentifier avec des authentificateurs FIDO2.
Partie utilisatrice prédéfinie
Un locataire IBM Security Verify est livré avec une définition prédéfinie de la partie utilisatrice FIDO2 qui couvre le domaine DNS du locataire lui-même. Cela permet l'authentification FIDO2 pour les interfaces web du locataire et toute application intégrée via l'authentification unique du navigateur.
Des définitions supplémentaires de parties utilisatrices sont nécessaires pour permettre aux applications web personnalisées intégrées à IBM Security Verify de prendre en charge l'enregistrement et l'authentification directs avec des authentificateurs FIDO2 basés sur WebAuthn.
Prérequis
Il n'y a pas de conditions préalables à la création d'une définition de partie utilisatrice FIDO2.
Collecte d'informations
Les éléments suivants sont nécessaires pour compléter ce guide :
| Item | Exemple de valeur/format |
|---|---|
| Domaine DNS de la partie utilisatrice | example.com |
| URL où les authentificateurs peuvent être enregistrés et/ou utilisés | https://www.example.com https://login.example.com:9443 |
| (optional) Metadata files from authenticator vendors | JSON-formatted files (.json ou .yubico) |
localhost ne peut pas être utilisé
Vous ne pouvez pas utiliser localhost comme domaine DNS pour le Relying Party FIDO2. Si vous mettez en place une application de test, vous pouvez utiliser un fichier hosts local pour associer un faux nom d'hôte qualifié à votre système de test.
Naviguer vers FIDO2 Settings
Dans l'interface d'administration, accédez à la page Sécurité et sélectionnez l'onglet FIDO2.
Sélectionnez le bouton Relying Parties +.
Navigation
Définir la partie utilisatrice
Nom d'affichage
Il s'agit d'un nom lisible par l'homme, utilisé uniquement pour l'administration et les rapports.
Identificateur de partie utilisatrice
L'identifiant de la partie utilisatrice doit être un domaine DNS qui couvre toutes les origines où FIDO2 sera utilisé sur le site couvert par cette définition. Il s'agit généralement du domaine DNS du site (par exemple, example.com), mais il peut s'agir d'un sous-domaine (par exemple, sales.example.com) si vous souhaitez limiter le champ d'application de la partie utilisatrice.
Appareils
Si vous avez chargé des métadonnées, vous pouvez indiquer ici quels fichiers de métadonnées sont valables pour ce Relying Party. En général, vous utiliserez l'option Inclure toutes les métadonnées de l'appareil plutôt que d'imposer des restrictions sur les types d'authentificateurs pouvant être enregistrés.
Critères de l'appareil
Si vous avez chargé des métadonnées, vous pouvez imposer la validation des certificats d'attestation de l'appareil par rapport aux fichiers de métadonnées que vous avez activés dans cette définition. Utilisez cette option pour limiter les types d'authentificateur pouvant être utilisés.
Origines autorisées
Pour WebAuthn, il s'agit des URL de base où les authentificateurs FIDO2 peuvent être enregistrés et utilisés. Le schéma doit être https. Chaque URL origine doit relever du domaine DNS défini comme identifiant de la partie utilisatrice. Le port doit être inclus s'il n'est pas 443.
Identifiant de la partie utilisatrice et origines
Pour plus d'informations sur les exigences et la relation entre l'identifiant de la partie utilisatrice et les origines, veuillez consulter https://www.w3.org/TR/webauthn.
Pour chaque origine, saisissez l'URL et sélectionnez le bouton Ajouter. Les origines ajoutées s'affichent dans la liste URL.
Lorsque vous avez terminé, sélectionnez Sauvegarder.
Relying Party definition
Updated 16 days ago