Configurations de clé d'accès facultatives

Désactivation des mises à jour de l'heure de la dernière connexion

Par défaut, Domino met toujours à jour l'heure de dernière connexion pour un identifiant de clé d'accès dans passkey.nsf une fois que cet identifiant a été utilisé pour s'authentifier avec succès. Cela peut avoir un impact négatif sur les performances sur un serveur très fréquenté. La définition de PASSKEY_ALWAYS_UPDATE_LAST_LOGIN=0 dans le fichier notes.ini du serveur désactivera cette fonctionnalité et obligera Domino à mettre à jour l'heure de dernière connexion des informations d'identification uniquement si l'authentificateur a envoyé un compteur différent de zéro lors de l'authentification. Cela améliorera les performances, mais entraînera des heures de dernière connexion incohérentes dans passkey.nsf.

Désactiver les demandes d'attestation

Les déclarations d'attestation peuvent améliorer la sécurité de l'enregistrement du mot de passe lors d'une session de connexion activement compromise et encourager les authentifiants à envoyer des informations d'identification aux parties de confiance.

Par défaut, Domino demandera aux authentificateurs de fournir une déclaration d'attestation « directe » lors de l'enregistrement de la clé d'accès afin de renseigner le champ « Nom de l'authentificateur » dans passkey.nsf. Cela peut amener certaines combinaisons navigateur/plateforme à demander à l'utilisateur l'autorisation de fournir des informations susceptibles de compromettre la confidentialité de l'utilisateur, et peut entraîner l'échec de l'enregistrement du mot de passe dans les fenêtres de navigateur incognito. Domino 14.0 est capable de valider les attestations « Aucun » et « Auto » et le fera dès réception de ces types. D'autres types d'attestation nécessitent des métadonnées externes pour être validés et ne seront pas validés.

Si PASSKEY_REQUEST_DIRECT_ATTSTMT=0 est défini dans le fichier notes.ini du serveur Domino, Domino demandera un type d'attestation « aucun ». Cela amènera la plupart des authentificateurs à enregistrer un AAGUID composé uniquement de zéros, ce qui correspondra à un champ « Nom de l'authentificateur » vide dans passkey.nsf.

Suppression de la limite d'enregistrement des clés d'accès

Chaque utilisateur est normalement limité à l'enregistrement d'un mot de passe par authentificateur pour chaque partie utilisatrice afin d'éviter toute confusion. Si vous souhaitez supprimer cette restriction, éventuellement à des fins de test, définissez PASSKEY_ALLOW_REPEATED_REGISTRATION=1 dans le fichier notes.ini du serveur.

Exiger une vérification de l'utilisateur

Les authentificateurs vérifieront toujours la présence de l'utilisateur avant d'utiliser un mot de passe. Par défaut, un authentificateur demandera une vérification à l'utilisateur s'il le peut, mais ne l'exigera pas s'il ne le peut pas. Par exemple, certains appareils Yubikey plus anciens ne disposent que d'un bouton sur lequel appuyer pour indiquer la présence de l'utilisateur, mais ne disposent pas d'un lecteur d'empreintes digitales ou d'un code PIN pour vérifier l'identité de l'utilisateur avec l'appareil. De même, certains ordinateurs portables autoriseront l'authentification par mot de passe lorsque le couvercle de l'ordinateur portable est fermé et que le lecteur d'empreintes digitales n'est pas actuellement actif. Les administrateurs peuvent exiger la vérification de l'utilisateur en définissant PASSKEY_REQUIRE_USER_VERIFICATION=1 dans le fichier notes.ini du serveur Domino. Cela est susceptible d'avoir un impact négatif sur les utilisateurs d'appareils FIDO2 dépourvus de données biométriques configurées sans code PIN, ainsi que sur les utilisateurs d'ordinateurs portables fermés et « ancrés », mais peut être utilisé pour appliquer strictement l'authentification multifacteur.