Clés FIDO2

Qu’est-ce qu’une clé d’accès ?

Une clé d’accès est un identifiant moderne, résistant au phishing, qui remplace les mots de passe traditionnels. Les clés d’accès sont basées sur la cryptographie à clé publique et peuvent être stockées sur des appareils ou des clés de sécurité, permettant aux utilisateurs de s’authentifier de manière sécurisée et transparente à travers applications et appareils.

ADSelfService Plus prend en charge les clés d’accès basées sur FIDO2, selon la norme ouverte d’authentification développée par la FIDO Alliance. Avec l’intégration WebAuthn, ADSelfService Plus permet l’authentification par clés d’accès pour un accès sécurisé aux ressources réseau.

ADSelfService Plus fournit actuellement l’authentification par clés FIDO2 pour les éléments suivants :

• Connexions au portail ADSelfService Plus
• Connexions aux applications cloud
• Connexions machines (Windows, macOS, et Linux)
• MFA VPN et RADIUS lorsque la vérification par email SecureLink est activée
• Outlook Web Access (OWA)
• Réinitialisations de mot de passe ou déblocages de compte depuis le portail ADSelfService Plus

Fonctionnement

Les clés FIDO2 sont des identifiants résistants au phishing, basés sur la cryptographie à clé publique et intégrés à ADSelfService Plus via l’API WebAuthn. Lors de l’enregistrement, les utilisateurs enregistrent leur clé d’accès (clé de sécurité ou clé d’appareil) avec ADSelfService Plus en fournissant une vérification utilisateur (biométrie, PIN, ou tapotement physique) sur leur authentificateur. L’authentificateur génère une paire de clés cryptographiques unique : la clé privée reste stockée en toute sécurité sur l’appareil ou la clé de sécurité de l’utilisateur et ne le quitte jamais, tandis que la clé publique est envoyée et enregistrée auprès d’ADSelfService Plus avec l’ID de la partie confiée (RP ID).

Lors de l’authentification, les utilisateurs vérifient leur identité directement sur leur appareil ou clé de sécurité en utilisant biométrie, PIN ou tapotement physique. L’authentificateur utilise la clé privée pour signer cryptographiquement un défi et envoie la réponse signée à ADSelfService Plus. ADSelfService Plus valide cette réponse avec la clé publique enregistrée et accorde l’accès après une vérification réussie. Cette approche sans mot de passe élimine les risques de phishing puisque la clé privée ne quitte jamais l’appareil de l’utilisateur et l’authentification est liée au domaine spécifique (RP ID), empêchant l’utilisation des identifiants sur des sites frauduleux.

Limitations

• Limité aux connexions machines et à l’authentification via navigateur : Les clés FIDO2 ne prennent actuellement pas en charge les réinitialisations de mot de passe ni les déblocages de compte via l’application mobile ADSelfService Plus.
• Exigences de compatibilité pour l’authentification biométrique : L’authentification biométrique via des clés de sécurité biométriques telles que les dispositifs YubiKey Bio Series nécessite la compatibilité du navigateur ou du système d’exploitation avec l’authentification biométrique. Si ni le navigateur ni le système d’exploitation ne prennent en charge l’authentification biométrique lors du MFA, le dispositif YubiKey Bio passera automatiquement à une authentification basée sur un PIN. Pour les informations de compatibilité, consultez la documentation YubiKey. Pour les étapes de dépannage, voir la page de dépannage.

Prérequis

Avant de configurer les clés FIDO2, assurez-vous que les exigences suivantes sont remplies :

• Privilèges administrateur : La configuration ne peut être réalisée qu’avec le compte administrateur par défaut d’ADSelfService Plus ou un compte technicien produit avec les privilèges Super Admin.
• Appareils supportant WebAuthn : Les utilisateurs doivent avoir des appareils compatibles WebAuthn pour utiliser l’authentification par clés FIDO2.
• Configuration HTTPS : ADSelfService Plus doit avoir HTTPS activé avec un certificat SSL valide.
• Nom de domaine valide : L’URL d’accès doit être configurée avec un nom de domaine valide, pas une adresse IP.
• Exigences relatives aux certificats :
  • Un certificat valide doit être déployé dans ADSelfService Plus
  • Le Nom commun (CN) ou Nom alternatif de sujet (SAN) sur le certificat doit correspondre au nom d’hôte utilisé dans l’URL d’accès ADSelfService Plus.
  • En cas d’utilisation d’une autorité de certification interne (CA), le certificat CA doit être approuvé sur tous les appareils des utilisateurs. Apprenez comment distribuer les certificats aux machines des utilisateurs.

Important: Finalisez votre URL d’accès et RP ID avant d’activer les clés FIDO2. Si votre organisation utilise (ou prévoit d’utiliser) des déploiements équilibrés en charge, hautement disponibles ou exposés à Internet d’ADSelfService Plus, configurez une URL d’accès stable. Le RP ID pour les clés FIDO2 dépend des mêmes informations serveur que l’URL d’accès. Modifier l’URL d’accès ultérieurement modifiera aussi le RP ID, entraînant la perte des données d’enregistrement et la désinscription de tous les utilisateurs.

Configuration des clés FIDO2

Les clés FIDO2 permettent aux utilisateurs de s’authentifier avec deux types d’authentificateurs :

• Clés de sécurité
• Clés d’appareil

Clés de sécurité

Ceux-ci incluent des clés de sécurité matérielles portables compatibles FIDO2, comme YubiKey et Titan Security Key, amovibles et compatibles avec plusieurs plateformes. Ces authentificateurs peuvent être connectés à un appareil via USB, NFC ou Bluetooth pour une authentification sécurisée.

Note: Contrairement aux clés d’appareil, les identifiants stockés sur les clés de sécurité matérielles restent sur le matériel et ne sont pas synchronisés entre appareils.

Clés d’appareil

Ces authentificateurs sont intégrés à l’appareil de l’utilisateur et gérés par le système d’exploitation. Ils vérifient l’identité de l’utilisateur via des identifiants biométriques ou basés sur PIN, stockés de manière sécurisée sur l’appareil. Exemples : Windows Hello, biométries Android, Touch ID ou Face ID d’Apple.

Les clés d’appareil peuvent être liées à l’appareil ou synchronisées entre plusieurs appareils, selon l’implémentation du fournisseur.

• Clés d’appareil liées : Ce sont des clés d’accès stockées uniquement sur l’appareil, non synchronisées avec des services cloud. Cela signifie que les utilisateurs doivent s’enregistrer séparément sur chaque appareil qu’ils souhaitent utiliser.
• Clés synchronisées : Ce sont des clés d’accès stockées en toute sécurité dans le cloud et synchronisées entre les appareils d’un utilisateur via des services comme iCloud Keychain ou Google Password Manager. Cette synchronisation permet un accès transparent à ADSelfService Plus sans avoir besoin de réinscrire chaque appareil. Cependant, les données de vérification utilisateur, telles que les PIN et biométries (y compris Face ID et Touch ID), restent spécifiques à chaque appareil et doivent être configurées individuellement. Par exemple, si John utilise Touch ID sur son MacBook puis achète un nouvel iPhone, il n’a pas besoin de réinscrire l’iPhone dans ADSelfService Plus, mais doit configurer Face ID sur cet iPhone pour l’authentification.

Les clés synchronisées basées sur mobile supportent également l’Authentification inter-appareils (CDA), permettant aux utilisateurs de vérifier leur identité sur un appareil tout en accédant aux ressources sur un autre. Par exemple, les utilisateurs peuvent utiliser les authentificateurs intégrés à leur smartphone, comme les biométries Android ou Face ID Apple, pour se connecter à ADSelfService Plus sur leur ordinateur portable en scannant un code QR et établissant une connexion Bluetooth.

Étapes de configuration

1. Connectez-vous au portail administrateur ADSelfService Plus et naviguez vers Configuration > Libre-service > Authentification multifacteur > Clés FIDO2.



2. Le Relying Party ID doit être soit le nom de domaine, soit le nom de domaine effectif (nom du serveur ou domaine parent du nom du serveur) utilisé dans l’URL d’accès.

Par exemple, si l’URL d’accès est https://selfservice.example.com, seuls les RP ID suivants sont valides :

• selfservice.example.com
• example.com

Précaution de sécurité : Spécifier un domaine parent dans le RP ID permet d’utiliser les clés FIDO2 sur les sites web des sous-domaines du domaine. Par exemple, si example.com est choisi comme RP ID, alors les clés FIDO2 enregistrées sur site1.example.com peuvent aussi être utilisées sur site2.example.com ou site3.example.com. Pour que les clés FIDO2 inscrites avec ADSelfService Plus ne puissent s’authentifier qu’avec le produit, vous pouvez définir la portée d’authentification en spécifiant l’URL d’accès utilisée dans ADSelfService Plus comme RP ID.

3. A Modèle de nom d’utilisateur aide à éviter les ambiguïtés en associant le compte utilisateur à des valeurs d’attribut distinctes dans AD. Il s’agit d’un nom d’utilisateur facilement mémorable et distinct fait dans ce modèle pour le compte utilisateur qui sera enregistré avec la clé FIDO2.
4. Ouvrez Paramètres avancés et utilisez le menu déroulant Types de clés autorisées pour configurer les types de clés FIDO2 que vos utilisateurs peuvent enregistrer.
• Sélectionnez Clés de sécurité pour permettre aux utilisateurs de votre organisation d’enregistrer des clés telles que YubiKeys ou Google Titan keys.
• Sélectionnez Clés d’appareil pour permettre aux utilisateurs de votre organisation d’enregistrer des clés basées sur l’appareil qui utilisent les méthodes d’authentification intégrées de la machine ou du téléphone, telles que les biométries (empreinte digitale ou reconnaissance faciale).
5. Activez la case à cocher Refuser les clés synchronisables pour garantir que les clés sont liées aux appareils organisationnels spécifiques et ne sont pas synchronisées entre plusieurs appareils via des services cloud. C’est idéal pour les organisations avec des exigences de sécurité ne permettant que les clés liées à un appareil.

Note: Activer la Refuser les clés synchronisables case à cocher empêchera les utilisateurs d’enregistrer des clés qui reposent sur la synchronisation cloud, comme les appareils Apple avec comptes iCloud.

6. Dans le menu déroulant, sélectionnez si la Vérification utilisateur est Requise, Préférée, ou Découragée pour les clés de sécurité. La vérification utilisateur, comme un PIN ou une biométrie supplémentaire, offre une couche de sécurité supplémentaire, assurant que la clé de sécurité est en possession d’individus autorisés. Ceci est important car des clés égarées pourraient être exploitées par des utilisateurs non autorisés qui les trouveraient.

Requise: L’utilisateur devra toujours vérifier son identité en utilisant le mécanisme de vérification intégré configuré sur la clé de sécurité après l’avoir insérée.

Préférée: Si une vérification utilisateur, comme PIN ou biométrie, est configurée sur la clé de sécurité, les utilisateurs seront invités à vérifier leur identité lors de l’insertion de l’authentificateur. Si aucune méthode de vérification n’est définie, les utilisateurs ne seront pas sollicités.

Découragée: Si votre organisation utilise des clés de sécurité basées sur U2F (facteur universel secondaire qui ne supportent pas la vérification utilisateur), les administrateurs peuvent sélectionner l’ Découragée option. Les utilisateurs ne seront pas invités à la vérification lors de l’insertion de leur clé FIDO2. Cependant, certaines clés de sécurité imposent la vérification sur les appareils compatibles même lorsque cette option est Découragée. Veuillez consulter la documentation fournie avec votre clé de sécurité pour le confirmer.

7. Spécifiez le nombre maximum de clés que chaque utilisateur peut ajouter dans le champ Nombre de clés autorisées par utilisateur . Les utilisateurs peuvent enregistrer jusqu’à cinq clés FIDO2.
8. Cliquez sur Enregistrer.

Appareils supportés

Les systèmes d’exploitation et navigateurs qui supportent chacun des types de clés suivants sont :

Note: Veuillez vous assurer que vous utilisez les dernières versions des navigateurs. Si vous utilisez un navigateur obsolète, vous pourriez ne pas pouvoir créer ou utiliser des clés en mode navigation privée ou incognito sur les principaux navigateurs et systèmes d’exploitation.

Clés de sécurité

Les clés de sécurité peuvent être utilisées sur une large gamme de systèmes d’exploitation et navigateurs, à condition que le système d’exploitation et le navigateur respectent les exigences nécessaires de support WebAuthn.

	Windows	macOS	Linux	Android	iOS
Google Chrome (67+)	Oui	Oui	Oui	Oui	Oui
Edge (67+)	Oui	Oui	Oui	Oui	Oui
Safari (13+)	N/A	Oui	N/A	N/A	Oui
Firefox (60+)	Oui	Oui	Oui	Oui	Oui

*Les chiffres entre parenthèses indiquent la version minimale du navigateur prise en charge requise.

Clés d’accès des appareils

Les clés d’accès des appareils sont prises en charge sur une large gamme de navigateurs et de systèmes d’exploitation, la compatibilité variant en fonction de la manière dont les clés sont accessibles :

1. Clés d’accès liées à l’appareil :

	Windows 10+ (Windows Hello)	macOS 11+ (Touch ID)	Android 7+ (biométrie Android)	iOS 14.5+ (Face ID)
Google Chrome	Oui (73+)	Oui (70+)	Oui (95+)	Oui (95+)
Edge	Oui (79+)	Oui	Oui	Oui (95+)
Safari	N/A	Oui (14+)	N/A	Oui (14.5+)
Firefox	Oui (66+)	Oui	Oui (68+)	Oui (38+)

*Les chiffres entre parenthèses indiquent la version minimale du navigateur prise en charge requise.

2. Clés d’accès synchronisées

	Windows 10+ (Windows Hello)	macOS 13+ (Touch ID)	Android 9+ (biométrie Android)	iOS 16.5+ (Face ID)
Google Chrome	Non	Oui (70+)	Oui	Oui
Edge	Non	Non	Oui	Oui
Safari	N/A	Oui (14+)	N/A	Oui
Firefox	Non	Oui	Oui	Oui

*Les chiffres entre parenthèses indiquent la version minimale du navigateur prise en charge requise.

3. Authentification inter-appareils

Client CDA : Le client CDA dans un flux d’authentification inter-appareils est l’appareil à partir duquel ADSelfService Plus est utilisé.

Authentificateur CDA : L’authentificateur CDA dans un flux d’authentification inter-appareils est l’appareil utilisé pour vérifier l’identité de l’utilisateur.

Par exemple, vous pouvez utiliser votre téléphone comme authentificateur inter-appareils pour vous connecter à ADSelfService Plus depuis votre ordinateur portable. Dans ce cas, l’ordinateur portable est le client CDA, et le téléphone agit comme authentificateur CDA.

Les clients et authentificateurs CDA pris en charge sont les suivants :

*Les chiffres entre parenthèses indiquent la version minimale du navigateur prise en charge requise.

Clés FIDO2 prises en charge pour les scénarios de connexion machine

Le MFA endpoint renforce la sécurité de connexion sur les points d’accès utilisateur en activant les clés FIDO2 résistantes au phishing. Avant de mettre en œuvre les connexions machines basées sur FIDO2, consultez le tableau ci-dessous pour comprendre quelles méthodes de clés d’accès sont prises en charge selon les différents systèmes d’exploitation et scénarios de connexion machine. Pour plus de détails sur le MFA pour endpoints, cliquez ici.

Pour les scénarios de connexion, de déverrouillage et UAC, les utilisateurs peuvent utiliser une clé de sécurité ou leur téléphone mobile. Les téléphones mobiles permettent aux utilisateurs de scanner un code QR pour ouvrir un lien sécurisé sur leur appareil et s’authentifier à l’aide des clés d’accès intégrées ou des clés de sécurité — aucune connexion directe appareil-à-appareil (comme CDA) n’est requise. Notez que les téléphones mobiles ne peuvent pas être utilisés pour le MFA hors ligne.

Pour les sessions RDP, l’authentification FIDO2 peut être activée sur les clients et serveurs Windows pris en charge via la redirection WebAuthn native de Windows. Sur les systèmes qui ne prennent pas en charge cette fonctionnalité — tels que les versions de Windows antérieures à la version 1809 de Windows 10 — vous devrez utiliser des outils tiers USB-over-IP comme IncentivesPro USB Redirector RDP Edition ou Eltima USB Network Gate.

Versions client et serveur prises en charge pour Windows Hello :

• OS client : Windows 10 version 1809 ou ultérieure, ou Windows 11
• OS serveur : Windows Server version 1809, 2019, 2022, ou 2025 et ultérieures

Inscription des clés FIDO2

Lors de l’inscription, les utilisateurs peuvent choisir leur type de clé préféré parmi les options proposées, comme les clés de sécurité ou les clés d’accès des appareils.

Clés de sécurité : L’utilisateur devra s’authentifier en utilisant le mécanisme intégré de la clé de sécurité. Par exemple, s’il utilise un YubiKey, il pourrait devoir saisir un code PIN ou scanner son empreinte digitale via le capteur. Les clés de sécurité peuvent être inscrites via le portail web ADSelfService Plus depuis un appareil qui prend en charge USB, la communication en champ proche (NFC), ou Bluetooth Low Energy (BLE). Une seule clé de sécurité peut être inscrite comme clé d’accès pour plusieurs utilisateurs, et plusieurs clés de sécurité peuvent être inscrites pour un seul compte utilisateur.

Clés d’accès des appareils : L’utilisateur terminera l’inscription en vérifiant son identité via l’authentificateur intégré à son appareil, comme Face ID, Touch ID ou un code PIN.

• Clés d’appareil liées : Une clé d’accès liée à l’appareil est stockée uniquement sur l’appareil où elle a été créée. Si les utilisateurs souhaitent utiliser la clé sur plusieurs appareils, ils doivent inscrire une nouvelle clé sur chaque appareil qui prend en charge les clés liées à l’appareil.
• Clés synchronisées : Une clé d’accès synchronisée est stockée dans le cloud et automatiquement synchronisée entre les appareils de l’utilisateur liés au même compte, via des services comme iCloud Keychain ou Google Password Manager. Une fois synchronisée, les utilisateurs n’ont pas besoin d’inscrire à nouveau la clé sur d’autres appareils qui prennent en charge les clés synchronisées.

Si un utilisateur souhaite inscrire un autre smartphone ou tablette, il peut scanner le code QR affiché à l’écran pour démarrer le processus d’authentification via Bluetooth. Les administrateurs doivent s’assurer que les appareils des utilisateurs prennent en charge CDA pour un processus d’inscription fluide. Une liste des appareils pris en charge est disponible ici.

Vous pouvez trouver le processus d’inscription étape par étape pour les utilisateurs ici.

Vérification avec les clés FIDO2

Une fois inscrits, les utilisateurs vérifieront leur identité en utilisant leurs clés lorsqu’ils se connectent.

Clés de sécurité : Les utilisateurs doivent vérifier la clé de sécurité sur leur appareil en la connectant via USB, NFC ou BLE. Une fois vérifiée, la clé peut être utilisée sur d’autres appareils en répétant le processus. Cela garantit un accès sécurisé et cohérent sur tous les appareils.

Clés d’accès des appareils : Les authentificateurs intégrés à l’appareil peuvent être utilisés pour la vérification sur l’appareil inscrit. Si la clé est synchronisée sur plusieurs appareils, elle peut également être utilisée sur ces appareils.

• Clés d’appareil liées : Les utilisateurs doivent vérifier leur identité sur le même appareil où la clé a été inscrite. Cela peut impliquer la saisie d’un code PIN ou l’utilisation de l’authentification biométrique. En cas de réussite, le système reconnaîtra la clé et permettra à l’utilisateur de se connecter.
• Clés synchronisées : Lorsque la clé est synchronisée sur plusieurs appareils liés au même compte, les utilisateurs peuvent l’utiliser pour le MFA sur n’importe lequel de ces appareils. L’utilisateur peut vérifier son identité à l’aide d’un authentificateur intégré, et l’authentification est complétée via la clé synchronisée, permettant une expérience de connexion fluide.

Note: Le Rapport sur les clés FIDO2 n'affichera que l’inscription sur l’appareil spécifique qui a été inscrit, et non sur ses appareils synchronisés.

Si un utilisateur doit s’authentifier avec un autre smartphone ou une tablette, il peut scanner le code QR affiché à l’écran pour terminer la vérification via Bluetooth.

Vous pouvez trouver les étapes détaillées de vérification ici.

Conseils

1. Finalisez la configuration avant le déploiement : Déterminez votre URL d’accès et votre RP ID avant d’activer les clés FIDO2, surtout pour les déploiements à haute disponibilité ou équilibrés. Modifier l’URL d’accès après l’inscription des utilisateurs modifiera le RP ID, entraînant la perte complète de toutes les données d’inscription et imposant une réinscription généralisée.
2. Choisissez la portée RP ID appropriée : Utilisez l’URL d’accès complète (ex. : selfservice.example.com) comme RP ID pour restreindre les clés d’accès exclusivement à ADSelfService Plus. N’utilisez le domaine parent (ex. : example.com) que si vous souhaitez intentionnellement que les clés fonctionnent sur plusieurs sous-domaines, mais sachez que cette portée plus large crée des implications de sécurité puisqu’une clé inscrite sur un sous-domaine peut s’authentifier sur d’autres.
3. Configurez des mécanismes de secours pour les clés de sécurité biométriques : Pour les clés de sécurité biométriques comme la série YubiKey Bio, assurez-vous que les utilisateurs configurent l’authentification par PIN comme mécanisme de secours. L’authentification biométrique nécessite le support du navigateur ou du système d’exploitation ; lors de l’accès à partir de navigateurs anciens ou de machines incompatibles, le YubiKey Bio revient automatiquement à l’authentification par PIN, évitant les verrouillages tout en maintenant la sécurité.