Tópico Anterior Próximo Tópico

FIDO2 Passkeys

O que é um passkey?

Um passkey é uma credencial moderna e resistente a phishing que substitui senhas tradicionais. Passkeys são baseados em criptografia de chave pública e podem ser armazenados em dispositivos ou chaves de segurança, permitindo que os usuários se autentiquem de forma segura e fluida em aplicações e dispositivos.

O ADSelfService Plus suporta passkeys baseados em FIDO2, seguindo o padrão aberto de autenticação desenvolvido pela FIDO Alliance. Com a integração WebAuthn, o ADSelfService Plus permite autenticação baseada em passkeys para acesso seguro a recursos de rede.

Atualmente, o ADSelfService Plus fornece autenticação por passkey FIDO2 para o seguinte:

• Logins no portal ADSelfService Plus
• Logins em aplicações na nuvem
• Logins em máquinas (Windows, macOS e Linux)
• VPN e RADIUS MFA quando a Verificação por Email SecureLink está habilitada
• Outlook Web Access (OWA)
• Redefinições de senha ou desbloqueios de conta pelo portal ADSelfService Plus

Como funciona

Passkeys FIDO2 são credenciais resistentes a phishing baseadas em criptografia de chave pública e integradas ao ADSelfService Plus por meio da API WebAuthn. Durante o registro, os usuários cadastram seu passkey (chave de segurança ou passkey do dispositivo) no ADSelfService Plus fornecendo verificação do usuário (biometria, PIN ou toque físico) no autenticador. O autenticador gera um par de chaves criptográficas único: a chave privada permanece armazenada com segurança no dispositivo do usuário ou na chave de segurança e nunca sai dele, enquanto a chave pública é enviada e registrada no ADSelfService Plus junto com o ID da Parte Confiável (RP ID).

Quando os usuários se autenticam, eles verificam sua identidade diretamente no dispositivo ou chave de segurança usando biometria, PIN ou toque físico. O autenticador usa a chave privada para assinar criptograficamente um desafio e envia a resposta assinada ao ADSelfService Plus. O ADSelfService Plus valida essa resposta contra a chave pública armazenada e concede acesso após verificação bem-sucedida. Essa abordagem sem senha elimina riscos de phishing, pois a chave privada nunca sai do dispositivo do usuário e a autenticação está vinculada ao domínio específico (RP ID), impedindo o uso das credenciais em sites falsos.

Limitações

• Limitado a logins em máquinas e autenticação via navegador: FIDO2 Passkeys atualmente não suporta redefinições de senha e desbloqueios de conta pelo aplicativo móvel ADSelfService Plus.
• Requisitos de compatibilidade para autenticação biométrica: A autenticação biométrica via chaves de segurança biométricas como dispositivos da série YubiKey Bio requer compatibilidade do navegador ou do sistema operacional para autenticação biométrica. Se nem o navegador nem o sistema operacional suportarem autenticação biométrica durante MFA, o dispositivo YubiKey Bio automaticamente fará fallback para autenticação via PIN. Para informações de compatibilidade, consulte a documentação do YubiKey. Para etapas de solução de problemas, veja a página de solução de problemas.

Pré-requisitos

Antes de configurar FIDO2 Passkeys, certifique-se de que os seguintes requisitos foram atendidos:

• Privilégios de administrador: A configuração só pode ser realizada usando a conta de administrador padrão do ADSelfService Plus ou uma conta de técnico do produto com privilégios de Super Admin.
• Dispositivos compatíveis com WebAuthn: Os usuários devem possuir dispositivos que suportem WebAuthn para usar autenticação por passkey FIDO2.
• Configuração HTTPS: O ADSelfService Plus deve ter HTTPS habilitado com um certificado SSL válido.
• Nome de domínio válido: A URL de acesso deve ser configurada com um nome de domínio válido, não um endereço IP.
• Requisitos de certificado:
  • Um certificado válido deve estar implantado no ADSelfService Plus
  • O Nome Comum (CN) ou Nome Alternativo do Assunto (SAN) no certificado deve corresponder ao nome do host usado na URL de acesso do ADSelfService Plus.
  • Se estiver usando uma Autoridade Certificadora (CA) interna, o certificado da CA deve ser confiável em todos os dispositivos dos usuários. Saiba como distribuir certificados para as máquinas dos usuários.

Importante: Finalize sua URL de acesso e RP ID antes de habilitar FIDO2 Passkeys. Se sua organização usa (ou planeja usar) implantações balanceadas, altamente disponíveis ou expostas à internet do ADSelfService Plus, configure uma URL de acesso estável. O RP ID para FIDO2 Passkeys depende das mesmas informações do servidor que a URL de acesso. Alterar a URL de acesso posteriormente também mudará o RP ID, resultando na perda dos dados de registro e no desregistro de todos os usuários.

Configurando FIDO2 Passkeys

Passkeys FIDO2 permitem que os usuários se autentiquem com dois tipos de autenticadores:

• Chaves de Segurança
• Passkeys de Dispositivo

Chaves de Segurança

Estes incluem chaves de segurança de hardware portáteis compatíveis com FIDO2, como YubiKey e Titan Security Key, que são removíveis e compatíveis com múltiplas plataformas. Esses autenticadores podem ser conectados a um dispositivo via USB, NFC ou Bluetooth para autenticação segura.

Nota: Diferentemente dos passkeys de dispositivo, as credenciais armazenadas em chaves de segurança de hardware permanecem no hardware e não são sincronizadas entre dispositivos.

Passkeys de Dispositivo

Esses autenticadores são incorporados ao dispositivo do usuário e gerenciados pelo sistema operacional. Eles verificam a identidade do usuário usando credenciais biométricas ou baseadas em PIN que são armazenadas com segurança no dispositivo. Exemplos incluem Windows Hello, biometria Android e Apple Touch ID ou Face ID.

Passkeys de dispositivo podem ser vinculados ao dispositivo ou sincronizados entre múltiplos dispositivos, dependendo da implementação do fornecedor.

• Passkeys vinculados ao dispositivo: São passkeys armazenados apenas no dispositivo e não sincronizados com serviços em nuvem. Isso significa que os usuários devem se registrar separadamente em cada dispositivo que desejam usar.
• Passkeys sincronizados: São passkeys armazenados com segurança na nuvem e sincronizados entre os dispositivos do usuário por meio de serviços em nuvem como iCloud Keychain ou Google Password Manager. Essa sincronização permite acesso fluido ao ADSelfService Plus sem a necessidade de registrar cada dispositivo novamente. No entanto, dados de verificação do usuário, como PINs e biometria (incluindo Face ID e Touch ID), permanecem específicos de cada dispositivo e devem ser configurados individualmente em cada um. Por exemplo, se John usa Touch ID em seu MacBook e depois compra um novo iPhone, ele não precisa registrar o iPhone novamente no ADSelfService Plus, mas deve configurar o Face ID no iPhone para autenticação.

Passkeys sincronizados baseados em dispositivos móveis também suportam Autenticação entre Dispositivos (CDA), permitindo que os usuários verifiquem sua identidade em um dispositivo enquanto acessam recursos em outro. Por exemplo, usuários podem usar os autenticadores embutidos em seus smartphones, como biometria Android ou Apple Face ID, para fazer login no ADSelfService Plus em seu laptop escaneando um código QR e estabelecendo uma conexão Bluetooth.

Etapas de configuração

1. Faça login no portal de administração do ADSelfService Plus e navegue até Configuração > Autoatendimento > Autenticação Multifator > FIDO2 Passkeys.



2. O ID da Parte Confiável deve ser o nome de domínio ou nome de domínio efetivo (nome do servidor ou domínio pai do nome do servidor) usado na URL de acesso.

Por exemplo, se a URL de acesso for https://selfservice.example.com, apenas os seguintes RP IDs são válidos:

• selfservice.example.com
• example.com

Aviso de segurança: Especificar um domínio pai no RP ID permite que passkeys FIDO2 sejam usados também nos sites dos subdomínios do domínio. Por exemplo, se example.com for escolhido como RP ID, então passkeys FIDO2 registrados em site1.example.com também podem ser usados em site2.example.com ou site3.example.com. Para permitir que Passkeys FIDO2 cadastrados com ADSelfService Plus autentiquem apenas com o produto, você pode definir o escopo de autenticação especificando a URL de acesso usada no ADSelfService Plus como RP ID.

3. Um Padrão de Nome de Usuário ajuda a evitar ambiguidades associando a conta do usuário a valores de atributo distintos no AD. É um nome de usuário facilmente memorizável e distinto criado nesse padrão para a conta do usuário que será registrada com a passkey FIDO2.
4. Abra as Configurações Avançadas e use o menu suspenso Tipos de Passkey Permitidos para configurar os tipos de passkeys FIDO2 que seus usuários podem cadastrar.
• Selecione Chaves de Segurança para permitir que usuários da sua organização se cadastrem para passkeys como YubiKeys ou chaves Google Titan.
• Selecione Passkeys de Dispositivo para permitir que usuários da sua organização se cadastrem para passkeys baseadas em dispositivos que utilizam métodos de autenticação integrados da máquina ou do telefone, como biometria, por exemplo, impressão digital ou reconhecimento facial.
5. Ative a caixa de seleção Negar passkeys sincronizáveis para garantir que as passkeys estejam vinculadas a dispositivos organizacionais específicos e não sejam sincronizadas entre múltiplos dispositivos via serviços em nuvem. Isso é ideal para organizações com requisitos de segurança que permitem apenas passkeys vinculadas a dispositivos.

Nota: Ativar a caixa de seleção Negar passkeys sincronizáveis impedirá que usuários cadastrem passkeys que dependem de sincronização em nuvem, como dispositivos Apple com contas iCloud.

6. No menu suspenso, selecione se a Verificação do Usuário é Obrigatória, Preferida ou Desencorajada para chaves de segurança. A verificação do usuário, como PIN ou biometria adicional, oferece uma camada extra de segurança, garantindo que a chave de segurança esteja em posse de indivíduos autorizados. Isso é importante porque chaves perdidas podem ser exploradas por usuários não autorizados que as encontrarem.

Obrigatória: O usuário sempre será obrigado a verificar sua identidade usando o mecanismo de verificação integrado configurado na chave de segurança após inseri-la.

Preferida: Se a verificação do usuário, como PIN ou biometria, estiver configurada na chave de segurança, os usuários serão solicitados a verificar sua identidade quando o autenticador for inserido. Se nenhum método de verificação estiver definido, os usuários não serão solicitados a se identificar.

Desencorajada: Se sua organização utiliza chaves de segurança baseadas em U2F (Universal 2nd Factor security keys) que não suportam verificação do usuário, os administradores podem selecionar a opção Desencorajada. Os usuários não serão solicitados a verificar sua identidade ao inserir sua passkey FIDO2. No entanto, algumas chaves de segurança exigem verificação em dispositivos suportados mesmo quando está Desencorajada. Consulte a documentação recebida com sua chave de segurança para confirmar isso.

7. Especifique o número máximo de passkeys que cada usuário pode adicionar no campo Número de passkeys permitidas por usuário. Os usuários podem cadastrar até cinco passkeys FIDO2.
8. Clique em Save.

Dispositivos suportados

Os sistemas operacionais e navegadores que suportam cada um dos seguintes tipos de passkeys são:

Nota: Certifique-se de que está usando as versões mais recentes dos navegadores. Se estiver usando um navegador desatualizado, talvez não consiga criar ou usar passkeys em modos anônimo ou privado nos principais navegadores e sistemas operacionais.

Chaves de segurança

Chaves de segurança podem ser usadas em uma ampla variedade de sistemas operacionais e navegadores, desde que ambos, o SO e o navegador, atendam aos requisitos necessários para suporte a WebAuthn.

*Os números entre parênteses indicam a versão mínima do navegador suportada.

Passkeys de dispositivo

Passkeys de dispositivo são suportadas em uma ampla variedade de navegadores e sistemas operacionais, com compatibilidade variando conforme o modo de acesso às passkeys:

1. Passkeys vinculadas ao dispositivo:

*Os números entre parênteses indicam a versão mínima do navegador suportada.

2. Passkeys sincronizadas

*Os números entre parênteses indicam a versão mínima do navegador suportada.

3. Autenticação entre dispositivos

Cliente CDA: O cliente CDA em um fluxo de Autenticação entre dispositivos é o dispositivo no qual o ADSelfService Plus está sendo acessado.

Autenticador CDA: O autenticador CDA em um fluxo de autenticação entre dispositivos é o dispositivo usado para verificar a identidade.

Por exemplo, você pode usar seu telefone como autenticador entre dispositivos para entrar no ADSelfService Plus a partir do seu laptop. Nesse caso, o laptop é o cliente CDA e o telefone atua como o autenticador CDA.

Os clientes e autenticadores CDA suportados são os seguintes:

*Os números entre parênteses indicam a versão mínima do navegador suportada.

Passkeys FIDO2 suportadas para cenários de login em máquinas

O Endpoint MFA fortalece a segurança de login nos endpoints dos usuários ao habilitar passkeys FIDO2 resistentes a phishing. Antes de aplicar logins em máquinas baseados em FIDO2, consulte a tabela abaixo para entender quais métodos de passkey são suportados em diferentes sistemas operacionais e cenários de login em máquinas. Para mais detalhes sobre MFA para endpoints, clique aqui.

SO	Modo de conexão (MFA)	Cenário de autenticação	Chaves de Segurança	Windows Hello	Telefone móvel
Windows	Online	Login, desbloqueio, UAC
		Servidor RDP, cliente RDP
	Offline	Login, desbloqueio, UAC
		Servidor RDP
macOS	Online	Login
	Offline	Login
Linux	Online	Login

Para cenários de login, desbloqueio e UAC, os usuários podem usar uma chave de segurança ou seu telefone móvel. Telefones móveis permitem que os usuários escaneiem um código QR para abrir um link seguro no dispositivo e autenticar usando passkeys integradas ou chaves de segurança — não é necessária conexão direta entre dispositivos (como CDA). Note que telefones móveis não podem ser usados para MFA offline.

Para sessões RDP, a autenticação FIDO2 pode ser habilitada em clientes e servidores Windows suportados usando a redireção WebAuthn nativa do Windows. Em sistemas que não suportam esse recurso — como versões do Windows anteriores à 10 versão 1809 — será necessário usar ferramentas USB-over-IP de terceiros, como IncentivesPro USB Redirector RDP Edition ou Eltima USB Network Gate.

Versões de cliente e servidor suportadas para Windows Hello:

• SO cliente: Windows 10 versão 1809 ou posterior, ou Windows 11
• Sistema operacional do servidor: Windows Server versão 1809, 2019, 2022, 2025 e posteriores

Registrando passkeys FIDO2

Durante o registro, os usuários podem escolher seu tipo de passkey preferido com base nas opções fornecidas, como security keys ou device passkeys.

Security keys: O usuário será solicitado a autenticar usando o mecanismo embutido da security key. Por exemplo, ao usar um YubiKey, pode ser necessário inserir um PIN ou escanear a impressão digital usando o sensor. Security keys podem ser registradas através do portal web do ADSelfService Plus a partir de um dispositivo que suporte conexões USB, near-field communication (NFC) ou Bluetooth Low Energy (BLE). Uma única security key pode ser registrada como passkey para múltiplos usuários, e múltiplas security keys podem ser registradas para uma única conta de usuário.

Device passkeys: O usuário concluirá o registro verificando sua identidade usando o autenticador embutido do dispositivo, como Face ID, Touch ID ou PIN.

• Device-bound passkeys: Uma device-bound passkey é armazenada apenas no dispositivo onde foi criada. Se os usuários quiserem usar a passkey em dispositivos adicionais, devem registrar uma nova passkey em cada dispositivo que suporte device-bound passkeys.
• Synced passkeys: Uma synced passkey é armazenada na nuvem e sincronizada automaticamente entre os dispositivos do usuário vinculados à mesma conta, usando serviços como iCloud Keychain ou Google Password Manager. Uma vez sincronizada, os usuários não precisam registrar a passkey novamente em outros dispositivos que suportem synced passkeys.

Se um usuário desejar registrar um smartphone ou tablet diferente, ele pode escanear o código QR exibido na tela para iniciar o processo de autenticação via Bluetooth. Os administradores devem garantir que os dispositivos dos usuários suportem CDA para um processo de registro tranquilo. Uma lista de dispositivos suportados está disponível aqui.

Você pode encontrar o processo passo a passo de registro para usuários aqui.

Verificação usando FIDO2 Passkeys

Uma vez registrados, os usuários verificarão sua identidade usando suas passkeys ao fazer login.

Security keys: Os usuários devem verificar a security key em seu dispositivo conectando via USB, NFC ou BLE. Uma vez verificada, a chave pode ser usada em outros dispositivos repetindo o processo. Isso garante acesso seguro e consistente em todos os dispositivos.

Device passkeys: Os autenticadores embutidos do dispositivo podem ser usados para verificação no dispositivo registrado. Se a passkey estiver sincronizada em vários dispositivos, também pode ser usada nesses dispositivos.

• Device-bound passkeys: Os usuários devem verificar sua identidade no mesmo dispositivo onde a passkey foi registrada. Isso pode envolver inserir um PIN ou usar autenticação biométrica. Se bem-sucedido, o sistema reconhecerá a passkey e permitirá o login do usuário.
• Synced passkeys: Quando a passkey está sincronizada em vários dispositivos vinculados à mesma conta, os usuários podem usá-la para MFA em qualquer um desses dispositivos. O usuário pode verificar sua identidade usando um autenticador embutido, e a autenticação é concluída usando a passkey sincronizada, proporcionando uma experiência de login fluida.

Nota: O Relatório de FIDO2 Passkeys mostrará apenas o registro no dispositivo específico que foi registrado, e não em seus dispositivos sincronizados.

Se um usuário precisar autenticar usando um smartphone ou tablet diferente, ele pode escanear o código QR exibido na tela para completar a verificação via Bluetooth.

Você pode encontrar os passos detalhados de verificação aqui.

Dicas

1. Finalize a configuração antes da implantação: Determine sua URL de acesso e RP ID antes de habilitar FIDO2 Passkeys, especialmente para implantações balanceadas ou altamente disponíveis. Alterar a URL de acesso após os usuários terem se registrado modificará o RP ID, causando perda completa de todos os dados de registro e forçando o re-registro em toda a organização.
2. Escolha o escopo correto do RP ID: Use a URL de acesso completa (ex.: selfservice.example.com) como RP ID para restringir passkeys exclusivamente ao ADSelfService Plus. Use apenas o domínio principal (ex.: example.com) se desejar intencionalmente que as passkeys funcionem em múltiplos subdomínios, mas entenda que esse escopo mais amplo cria implicações de segurança, pois passkeys registradas em um subdomínio podem autenticar em outros.
3. Configure mecanismos de fallback para security keys biométricas: Para security keys biométricas como a YubiKey Bio Series, assegure que os usuários configurem autenticação baseada em PIN como mecanismo de fallback. A autenticação biométrica requer suporte do navegador ou sistema operacional; ao acessar sistemas de navegadores antigos ou máquinas incompatíveis, a YubiKey Bio automaticamente recorre à autenticação por PIN, prevenindo bloqueios e mantendo a segurança.

Tópico Anterior Próximo Tópico