Qu'est-ce que l'authenticatorSelection dans WebAuthn ?

Dans WebAuthn, authenticatorSelection est une partie importante de l'objet PublicKeyCredentialCreationOptions. Cette fonctionnalité permet aux Relying Parties (RP) de spécifier des critères pour sélectionner les authentificateurs appropriés lors de l'opération create(). Son importance réside dans les points suivants :

• Définition des exigences de l'authentificateur : Cette option dicte le type d'authentificateurs pouvant participer au processus d'inscription.
• Type d'association de l'authentificateur : Elle détermine si l'authentificateur est de type plateforme (par ex. Face ID, Touch ID, Windows Hello) ou multiplateforme (itinérant).
• Vérification de l'utilisateur : Elle définit l'exigence de vérification de l'utilisateur (par ex. « preferred », « required » ou « discouraged »).

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

Poursuivez votre lecture pour une analyse détaillée des valeurs et configurations possibles de authenticatorSelection.

Dans WebAuthn, authenticatorSelection est essentiel pour garantir que le processus d'authentification correspond aux exigences de sécurité et aux préférences d'expérience utilisateur spécifiques. Il offre aux Relying Parties la flexibilité d'adapter le processus d'inscription en fonction de leurs besoins en matière de sécurité.

Voici un aperçu des valeurs possibles, telles que spécifiées dans la spécification WebAuthn :

Valeurs possibles :

• Platform : L'authentificateur est attaché à la plateforme du client et n'est donc pas amovible.
• Cross-platform : L'authentificateur n'est pas lié à la plateforme du client et peut être utilisé sur plusieurs appareils.

Cette valeur spécifie si la Relying Party souhaite créer un identifiant découvrable. Les valeurs possibles sont :

• required : L'authentificateur doit créer une clé résidente et l'opération doit échouer si ce n'est pas possible.
• preferred : L'authentificateur doit essayer de créer une clé résidente et doit créer une clé non résidente si ce n'est pas possible.
• discouraged : L'authentificateur doit créer une clé non résidente et l'opération doit échouer si ce n'est pas possible.

Cette valeur est uniquement utilisée pour la rétrocompatibilité avec WebAuthn niveau 1, étant définie sur « true » si residentKey est défini sur « required ».

Abonnez-vous à notre Substack passkeys pour les dernières actualités.

S'abonner

Cette valeur indique si la vérification de l'utilisateur est requise pour l'opération. Les valeurs possibles sont :

• required : L'opération doit vérifier l'utilisateur.
• preferred : L'opération devrait vérifier l'utilisateur, mais peut se poursuivre sans (valeur par défaut).
• discouraged : L'opération ne devrait pas vérifier l'utilisateur.

Attention : Si la valeur est « preferred », l'authentificateur peut ignorer la vérification de l'utilisateur lors du processus d'authentification. Pour en savoir plus sur ce problème, consultez cet article.

Dans WebAuthn, authenticatorSelection permet aux Relying Parties de spécifier le type d'authentificateurs adaptés à leur processus d'authentification, y compris l'exigence de vérification de l'utilisateur et le type d'authentificateur.

Il affecte l'expérience utilisateur en déterminant le type d'authentificateur utilisé (plateforme ou itinérant) et en définissant le niveau de vérification de l'utilisateur, influençant ainsi la facilité et la sécurité du processus d'authentification.

Expérimentez les parcours passkey dans le Passkeys Debugger.

Essayer gratuitement

Le paramètre authenticatorAttachment dans authenticatorSelection dicte si un authentificateur de plateforme fixe ou un authentificateur multiplateforme amovible est requis, ce qui affecte les caractéristiques physiques et fonctionnelles du processus d'authentification.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →