Passkeys FIDO2

Qu'est-ce qu'une passkey ?

Une passkey est un identifiant moderne résistant au phishing qui remplace les mots de passe traditionnels. Les passkeys sont basées sur la cryptographie à clé publique et peuvent être stockées sur des appareils ou des clés de sécurité, permettant aux utilisateurs de s'authentifier de manière sécurisée et fluide à travers les applications et les appareils.

ADSelfService Plus prend en charge les passkeys basées sur FIDO2, suivant la norme ouverte d’authentification développée par la FIDO Alliance. Avec l'intégration WebAuthn, ADSelfService Plus permet l'authentification par passkey pour un accès sécurisé aux ressources réseau.

ADSelfService Plus offre actuellement l'authentification par passkey FIDO2 pour les éléments suivants :

Fonctionnement

Les passkeys FIDO2 sont des identifiants résistants au phishing basés sur la cryptographie à clé publique et intégrés à ADSelfService Plus via l’API WebAuthn. Lors de l’enregistrement, les utilisateurs enregistrent leur passkey (clé de sécurité ou passkey d’appareil) auprès d’ADSelfService Plus en fournissant une vérification utilisateur (biométrie, PIN ou tap physique) sur leur authentificateur. L’authentificateur génère une paire de clés cryptographiques unique : la clé privée reste stockée en toute sécurité sur l’appareil ou la clé de sécurité de l’utilisateur et ne le quitte jamais, tandis que la clé publique est envoyée et enregistrée avec ADSelfService Plus ainsi que l’ID de la partie dépendante (RP ID).

Lors de l’authentification, les utilisateurs vérifient leur identité directement sur leur appareil ou clé de sécurité en utilisant biométrie, PIN ou tap physique. L’authentificateur utilise la clé privée pour signer cryptographiquement un challenge et envoie la réponse signée à ADSelfService Plus. ADSelfService Plus valide cette réponse par rapport à la clé publique stockée et accorde l’accès après vérification réussie. Cette approche sans mot de passe élimine les risques de phishing puisque la clé privée ne quitte jamais l’appareil de l’utilisateur et l’authentification est liée au domaine spécifique (RP ID), empêchant l’utilisation des identifiants sur des sites frauduleux.

Limitations

Prérequis

Avant de configurer FIDO2 Passkeys, assurez-vous que les conditions suivantes sont remplies :

Important: Finalisez votre URL d’accès et RP ID avant d’activer FIDO2 Passkeys. Si votre organisation utilise (ou prévoit d’utiliser) des déploiements en répartition de charge, hautement disponibles ou accessibles sur internet d’ADSelfService Plus, configurez une URL d’accès stable. Le RP ID pour FIDO2 Passkeys dépend des mêmes informations serveur que l’URL d’accès. Modifier l’URL d’accès ultérieurement modifiera aussi le RP ID, entraînant une perte des données d’enregistrement et la désinscription de tous les utilisateurs.

Configuration de FIDO2 Passkeys

Les passkeys FIDO2 permettent aux utilisateurs de s’authentifier avec deux types d’authentificateurs :

Clés de sécurité

Ceux-ci incluent des clés de sécurité matérielles portables compatibles FIDO2, telles que YubiKey et Titan Security Key, qui sont amovibles et compatibles avec plusieurs plateformes. Ces authentificateurs peuvent être connectés à un appareil via USB, NFC ou Bluetooth pour une authentification sécurisée.

Remarque: Contrairement aux passkeys d’appareil, les identifiants stockés sur les clés matérielles de sécurité restent sur le matériel et ne sont pas synchronisés entre les appareils.

Passkeys d’appareil

Ces authentificateurs sont intégrés à l’appareil de l’utilisateur et gérés par le système d’exploitation. Ils vérifient l’identité de l’utilisateur à l’aide d’identifiants biométriques ou basés sur PIN stockés en toute sécurité sur l’appareil. Exemples : Windows Hello, biométrie Android, et Touch ID ou Face ID Apple.

Les passkeys d’appareil peuvent être liées à un seul appareil ou synchronisées entre plusieurs appareils, selon la mise en œuvre du fournisseur.

Étapes de configuration

  1. Connectez-vous au portail d’administration ADSelfService Plus et naviguez vers Configuration > Libre-service > Authentification multi-facteurs > FIDO2 Passkeys.
  2. Configuration des clés FIDO2 dans ADSelfService Plus

  3. Le Relying Party ID doit être soit le nom de domaine, soit le nom de domaine effectif (nom du serveur ou domaine parent du nom du serveur) utilisé dans l’URL d’accès.
  4. Par exemple, si l’URL d’accès est https://selfservice.example.com, seuls les RP ID suivants sont valides :

    • selfservice.example.com
    • example.com

    Avertissement de sécurité : Spécifier un domaine parent dans le RP ID permet également d’utiliser les passkeys FIDO2 sur les sous-domaines du domaine. Par exemple, si example.com est choisi comme RP ID, les passkeys FIDO2 enregistrées sur site1.example.com peuvent également être utilisées sur site2.example.com ou site3.example.com. Pour permettre aux passkeys FIDO2 enregistrées avec ADSelfService Plus de s’authentifier uniquement avec le produit, vous pouvez définir la portée d’authentification en spécifiant l’URL d’accès utilisée dans ADSelfService Plus comme RP ID.

  5. A Le modèle de nom d’utilisateur aide à éviter toute ambiguïté en associant le compte utilisateur à des valeurs d’attribut distinctes dans AD. Il s’agit d’un nom d’utilisateur facilement mémorisable et distinct formé selon ce modèle pour le compte utilisateur qui sera enregistré avec la passkey FIDO2.
  6. Ouvrez Paramètres avancés et utilisez le menu déroulant Types de passkey autorisés pour configurer les types de passkeys FIDO2 que vos utilisateurs peuvent enregistrer.
    • Sélectionnez Clés de sécurité pour autoriser les utilisateurs de votre organisation à enregistrer des passkeys telles que YubiKeys ou clés Google Titan.
    • Sélectionnez Passkeys d’appareil pour autoriser les utilisateurs de votre organisation à enregistrer des passkeys basées sur l’appareil qui utilisent les méthodes d’authentification intégrées à la machine ou au téléphone, telles que la biométrie par empreinte digitale ou reconnaissance faciale.
  7. Activez la case à cocher Refuser les passkeys synchronisables pour garantir que les passkeys sont liées à des appareils organisationnels spécifiques et ne sont pas synchronisées sur plusieurs appareils via des services cloud. Cela est idéal pour les organisations ayant des exigences de sécurité pour n’autoriser que des passkeys liées à un appareil.
  8. Remarque: Activer la case à cocher Refuser les passkeys synchronisables case à cocher empêchera les utilisateurs d’enregistrer des passkeys reposant sur la synchronisation cloud, telles que les appareils Apple avec comptes iCloud.

  9. Dans le menu déroulant, choisissez si la vérification utilisateur est Obligatoire, Préférée, ou Découragée pour les clés de sécurité. La vérification utilisateur, telle qu’un PIN ou des biométries supplémentaires, fournit une couche de sécurité supplémentaire, assurant que la clé de sécurité est en possession de personnes autorisées. Ceci est important car une clé perdue pourrait être exploitée par des utilisateurs non autorisés qui la trouveraient.
  10. Obligatoire: L’utilisateur sera toujours tenu de vérifier son identité en utilisant le mécanisme de vérification intégré configuré sur la clé de sécurité après son insertion.

    Préférée: Si une vérification utilisateur, telle qu’un PIN ou biométrie, est configurée sur la clé de sécurité, l’utilisateur devra vérifier son identité lors de l’insertion de l’authentificateur. Si aucune méthode de vérification n’est définie, l’utilisateur ne sera pas invité à s’identifier.

    Découragée: Si votre organisation utilise des clés de sécurité basées sur U2F (Universal 2nd Factor) qui ne prennent pas en charge la vérification utilisateur, les administrateurs peuvent sélectionner l’ Découragée option. Les utilisateurs ne seront pas invités à vérifier leur identité lors de l’insertion de leur passkey FIDO2. Cependant, certaines clés de sécurité exigent la vérification sur les appareils compatibles même lorsqu’elle est Découragée. Veuillez consulter la documentation fournie avec votre clé de sécurité pour vous en assurer.

  11. Spécifiez le nombre maximal de passkeys que chaque utilisateur peut ajouter dans le champ Nombre de passkeys autorisées par utilisateur . Les utilisateurs peuvent enregistrer jusqu’à cinq passkeys FIDO2.
  12. Cliquez sur Enregistrer.

Appareils pris en charge

Le système d’exploitation et les navigateurs prenant en charge chacun des types de passkeys suivants sont :

Remarque: Veuillez vous assurer que vous utilisez les dernières versions des navigateurs. Si vous utilisez un navigateur obsolète, vous pourriez ne pas être en mesure de créer ou d’utiliser des passkeys en mode navigation privée ou incognito dans les navigateurs et systèmes d’exploitation majeurs.

Clés de sécurité

Les clés de sécurité peuvent être utilisées sur un large éventail de systèmes d’exploitation et navigateurs, à condition que l’OS et le navigateur répondent aux exigences nécessaires de support WebAuthn.

  Windows macOS Linux Android iOS
Google Chrome (67+) Oui Oui Oui Oui Oui
Edge (67+) Oui Oui Oui Oui Oui
Safari (13+) N/A Oui N/A N/A Oui
Firefox (60+) Oui Oui Oui Oui Oui

*Les chiffres entre parenthèses indiquent la version minimale du navigateur prise en charge.

Clés d’accès des appareils

Les clés d’accès des appareils sont prises en charge sur un large éventail de navigateurs et de systèmes d’exploitation, la compatibilité variant selon la manière dont les clés d’accès sont utilisées :

1. Clés d’accès liées à l’appareil :

  Windows 10+ (Windows Hello) macOS 11+ (Touch ID) Android 7+ (Android biometrics) iOS 14.5+ (Face ID)
Google Chrome Oui (73+) Oui (70+) Oui (95+) Oui (95+)
Edge Oui (79+) Oui Oui Oui (95+)
Safari N/A Oui (14+) N/A Oui (14.5+)
Firefox Oui (66+) Oui Oui (68+) Oui (38+)

*Les chiffres entre parenthèses indiquent la version minimale du navigateur prise en charge.

2. Clés d’accès synchronisées

  Windows 10+ (Windows Hello) macOS 13+ (Touch ID) Android 9+ (Android biometrics) iOS 16.5+ (Face ID)
Google Chrome Non Oui (70+) Oui Oui
Edge Non Non Oui Oui
Safari N/A Oui (14+) N/A Oui
Firefox Non Oui Oui Oui

*Les chiffres entre parenthèses indiquent la version minimale du navigateur prise en charge.

3. Authentification multi-appareils

Client CDA : Le client CDA dans un flux d’authentification multi-appareils est l’appareil à partir duquel ADSelfService Plus est utilisé.

Authentificateur CDA : L’authentificateur CDA dans un flux d’authentification multi-appareils est l’appareil utilisé pour vérifier l’identité de l’utilisateur.

Par exemple, vous pouvez utiliser votre téléphone comme authentificateur multi-appareils pour vous connecter à ADSelfService Plus depuis votre ordinateur portable. Dans ce cas, l’ordinateur portable est le client CDA et le téléphone agit en tant qu’authentificateur CDA.

Les clients et authentificateurs CDA pris en charge sont les suivants :

  Windows macOS Android iOS
  Prise en charge du client CDA Prise en charge de l’authentificateur CDA Prise en charge du client CDA Prise en charge de l’authentificateur CDA Prise en charge du client CDA Prise en charge de l’authentificateur CDA Prise en charge du client CDA Prise en charge de l’authentificateur CDA
Google Chrome Oui (108+) Non Oui (70+) Non Non Oui Non Oui
Edge Oui (108+) Non Oui Non Non Oui Non Oui
Safari N/A N/A Oui (14+) Non N/A N/A N/A Oui
Firefox Non Non Oui Non Non Oui Non Oui

*Les chiffres entre parenthèses indiquent la version minimale du navigateur prise en charge.

Clés FIDO2 prises en charge pour les scénarios de connexion machine

La MFA sur endpoint renforce la sécurité des connexions sur les postes utilisateurs en activant les clés FIDO2 résistantes au phishing. Avant d’imposer les connexions machines basées sur FIDO2, consultez le tableau ci-dessous pour comprendre quelles méthodes de clés d’accès sont prises en charge sur différents systèmes d’exploitation et scénarios de connexion machine. Pour en savoir plus sur la MFA pour endpoints, cliquez ici.

OS Mode de connexion (MFA) Scénario d’authentification Clés de sécurité Windows Hello Téléphone mobile
Windows En ligne Connexion, déverrouillage, UAC
Serveur RDP, client RDP
Hors ligne Connexion, déverrouillage, UAC
Serveur RDP
macOS En ligne Connexion
Hors ligne Connexion
Linux En ligne Connexion

Pour les scénarios de connexion, déverrouillage et UAC, les utilisateurs peuvent utiliser une clé de sécurité ou leur téléphone mobile. Les téléphones mobiles permettent aux utilisateurs de scanner un code QR pour ouvrir un lien sécurisé sur leur appareil et s’authentifier à l’aide de clés d’accès intégrées ou de clés de sécurité — aucune connexion directe appareil-à-appareil (comme CDA) n’est requise. Notez que les téléphones mobiles ne peuvent pas être utilisés pour la MFA hors ligne.

Pour les sessions RDP, l’authentification FIDO2 peut être activée sur les clients et serveurs Windows pris en charge en utilisant la redirection WebAuthn native de Windows. Sur les systèmes qui ne supportent pas cette fonctionnalité — comme les versions de Windows antérieures à la 10 version 1809 — vous devrez utiliser des outils USB-over-IP tiers tels que IncentivesPro USB Redirector RDP Edition ou Eltima USB Network Gate.

Versions clients et serveurs prises en charge pour Windows Hello :

Enregistrement des clés FIDO2

Lors de l’enregistrement, les utilisateurs peuvent choisir leur type de clé d’accès préféré parmi les options proposées, telles que les clés de sécurité ou les clés d’accès des appareils.

Clés de sécurité : L’utilisateur devra s’authentifier à l’aide du mécanisme intégré de la clé de sécurité. Par exemple, s’il utilise un YubiKey, il peut être amené à saisir un code PIN ou à scanner son empreinte digitale via le capteur. Les clés de sécurité peuvent être enregistrées via le portail web ADSelfService Plus depuis un appareil prenant en charge USB, communication en champ proche (NFC) ou Bluetooth Low Energy (BLE). Une seule clé de sécurité peut être enregistrée comme clé d’accès pour plusieurs utilisateurs, et plusieurs clés de sécurité peuvent être enregistrées pour un même compte utilisateur.

Clés d’accès des appareils : L’utilisateur finalisera l’enregistrement en vérifiant son identité via l’authentificateur intégré de son appareil, comme Face ID, Touch ID ou un code PIN.

Si un utilisateur souhaite enregistrer un autre smartphone ou une tablette, il peut scanner le code QR affiché à l’écran pour démarrer le processus d’authentification via Bluetooth. Les administrateurs doivent veiller à ce que les appareils des utilisateurs prennent en charge CDA pour un enregistrement fluide. Une liste des appareils pris en charge est disponible ici.

Vous pouvez trouver le processus d’enregistrement étape par étape pour les utilisateurs ici.

Vérification avec les clés FIDO2

Une fois enregistrés, les utilisateurs vérifieront leur identité à l’aide de leurs clés d’accès lors de la connexion.

Clés de sécurité : Les utilisateurs doivent vérifier leur clé de sécurité sur leur appareil en la connectant via USB, NFC ou BLE. Une fois vérifiée, la clé peut être utilisée sur d’autres appareils en répétant le processus. Cela garantit un accès sécurisé et cohérent sur tous les appareils.

Clés d’accès des appareils : Les authentificateurs intégrés de l’appareil peuvent être utilisés pour la vérification sur l’appareil enregistré. Si la clé d’accès est synchronisée sur plusieurs appareils, elle peut également être utilisée sur ces appareils.

Si un utilisateur doit s’authentifier à l’aide d’un autre smartphone ou d’une tablette, il peut scanner le code QR affiché à l’écran pour compléter la vérification via Bluetooth.

Vous pouvez consulter les étapes détaillées de vérification ici.

Conseils

  1. Finalisez la configuration avant le déploiement : Déterminez votre URL d’accès et RP ID avant d’activer les clés FIDO2, en particulier pour les déploiements équilibrés ou à haute disponibilité. Modifier l’URL d’accès après l’enregistrement des utilisateurs modifiera le RP ID, entraînant la perte totale de toutes les données d’enregistrement et forçant un réenregistrement au niveau de l’organisation.
  2. Choisissez la bonne étendue RP ID : Utilisez l’URL d’accès complète (par exemple, selfservice.example.com) comme RP ID pour restreindre les clés d’accès exclusivement à ADSelfService Plus. N’utilisez le domaine parent (par exemple, example.com) que si vous souhaitez intentionnellement que les clés fonctionnent sur plusieurs sous-domaines, mais sachez que cette portée plus large entraîne des implications de sécurité car des clés enregistrées sur un sous-domaine peuvent authentifier sur d’autres.
  3. Configurez les mécanismes de secours pour les clés de sécurité biométriques : Pour les clés de sécurité biométriques comme la série YubiKey Bio, assurez-vous que les utilisateurs configurent l’authentification par code PIN comme mécanisme de secours. L’authentification biométrique nécessite la prise en charge du navigateur ou du système d’exploitation ; lors de l’accès depuis des navigateurs anciens ou des machines incompatibles, la YubiKey Bio basculera automatiquement vers l’authentification par PIN, évitant les blocages tout en maintenant la sécurité.

Merci !

Votre demande a été soumise à l’équipe de support technique ADSelfService Plus. Notre équipe technique vous assistera dans les plus brefs délais.

 

Besoin d’assistance technique ?

  • Saisissez votre adresse e-mail
  • Parlez aux experts
  •  
     
  •  
  • En cliquant sur « Parlez aux experts », vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité.

Vous ne trouvez pas ce que vous cherchez ?

  •  

    Visitez notre communauté

    Posez vos questions dans le forum.

     
  •  

    Demandez des ressources supplémentaires

    Envoyez-nous vos besoins.

     
  •  

    Besoin d’aide à la mise en œuvre ?

    Essayez OnboardPro

     

Copyright © 2026, ZOHO Corp. Tous droits réservés.