Cette page a été traduite par l'API Cloud Translation.

Questions fréquentes (FAQ)

Général

Qui prend en charge les clés d'accès ?

Les clés d'accès étant basées sur les normes FIDO, elles fonctionnent sur Android et Chrome, ainsi que sur de nombreux autres écosystèmes et navigateurs populaires tels que Microsoft Windows, Microsoft Edge, macOS, iOS et Safari.

Consultez Environnements compatibles pour vérifier l'état de la compatibilité sur Chrome et Android.

Les clés d'accès fonctionnent-elles sur les appareils sur lesquels aucune méthode de verrouillage de l'écran n'est configurée ?

Cela dépend de l'implémentation du gestionnaire de mots de passe et de la question de savoir si un fournisseur d'identifiants permet de créer une clé d'accès et de s'authentifier sans demander à l'utilisateur de fournir un facteur de connaissance. Les fournisseurs peuvent inviter les utilisateurs à configurer un code ou un déverrouillage biométrique de l'écran avant de créer une clé d'accès.

Comment utiliser les clés d'accès enregistrées sur une plate-forme (comme Android) pour se connecter sur d'autres plates-formes (comme le Web ou iOS) ?

Par exemple, une clé d'accès enregistrée sur Android peut être utilisée pour se connecter sur d'autres plates-formes en connectant le téléphone Android à un autre appareil. Pour établir une connexion entre les deux appareils, les utilisateurs doivent ouvrir le site sur lequel ils essaient de se connecter sur un appareil sur lequel aucune clé d'accès n'est enregistrée, scanner un code QR, puis confirmer la connexion sur l'appareil sur lequel ils ont créé la clé d'accès (dans ce cas, l'appareil Android). La clé d'accès ne quitte jamais l'appareil Android. Les applications suggèrent donc généralement de créer une clé d'accès sur l'autre appareil pour faciliter la connexion la prochaine fois. Ce flux fonctionnera de la même manière pour les autres plates-formes.

Puis-je déplacer des clés d'accès synchronisées d'un fournisseur de plate-forme à un autre ?

Les clés d'accès sont enregistrées dans le fournisseur d'identifiants défini par la plate-forme. Certaines plates-formes, comme Android, permettent aux utilisateurs de choisir le fournisseur de leur choix (un gestionnaire de mots de passe système ou tiers) à partir d'Android 14, qui peut être en mesure de synchroniser les clés d'accès sur différentes plates-formes. Il n'est pas possible pour le moment de transférer directement des clés d'accès d'un fournisseur de plate-forme à un autre.

Un utilisateur peut-il synchroniser ses clés d'accès sur des appareils Android non Google ?

Les clés d'accès ne sont synchronisées qu'au sein de l'écosystème de l'appareil (c'est-à-dire d'Android à Android avec le Gestionnaire de mots de passe de Google par défaut), mais pas dans l'ensemble de l'écosystème.

Android ouvre la plate-forme (à partir d'Android 14) pour permettre aux utilisateurs de sélectionner le fournisseur d'identifiants qu'ils souhaitent utiliser (par exemple, un gestionnaire de mots de passe tiers). Cela permettra des cas d'utilisation tels que la synchronisation des clés d'accès entre différents écosystèmes (en fonction du degré d'ouverture des autres plates-formes).

Que doivent faire les développeurs concernant les appareils et les plates-formes qui ne sont pas compatibles avec les clés d'accès ?

Nous recommandons aux développeurs de conserver les options de connexion existantes dans leur application pour le moment, afin qu'elles restent disponibles pour les appareils et les surfaces qui ne sont pas compatibles avec les clés d'accès.

Une clé d'accès peut-elle expirer ?

Non. Cela dépend du fournisseur qui stocke les clés d'accès et de la partie de confiance, mais il n'existe pas de pratique courante pour faire expirer les clés d'accès.

Un RP peut-il spécifier un compte avec lequel l'utilisateur doit se connecter ?

Les tiers de confiance (applications tierces) peuvent renseigner allowCredentials avec une liste d'ID d'identifiants envoyés depuis le backend de leur application, indiquant les clés d'accès à utiliser pour authentifier l'utilisateur.

Clés d'accès sur Android et Chrome

Les applications Android peuvent-elles utiliser les clés d'accès créées dans Chrome pour l'authentification ?

Pour les clés d'accès créées dans Chrome sur Android :

Oui, les clés d'accès créées dans Chrome sont enregistrées dans le Gestionnaire de mots de passe de Google et disponibles sur Android, et inversement, lorsque les utilisateurs sont connectés au même compte Google.

Remarque : Afin de prendre en charge les clés d'accès pour votre application Android, la première étape consiste à associer votre application au site Web. Pour ce faire, hébergez un fichier JSON Digital Asset Links sur votre site Web et ajoutez un lien vers le fichier Digital Asset Links au fichier manifeste de votre application. Cela prouve que vous êtes propriétaire du site Web et de l'application. Pour en savoir plus, consultez la documentation sur Digital Asset Links.
Pour les clés d'accès créées dans Chrome sur d'autres plates-formes :

Non, si la clé d'accès est créée dans Chrome sur d'autres plates-formes (Mac, iOS, Windows). Pour en savoir plus, consultez les environnements compatibles. En attendant, les utilisateurs peuvent utiliser le téléphone sur lequel ils ont créé la clé d'accès pour se connecter.

Qu'advient-il des identifiants créés avant l'introduction des clés d'accès ? Pouvons-nous continuer à les utiliser ?

Oui, sur Chrome et Android, les identifiants liés à l'appareil créés avant l'activation de la synchronisation sont disponibles et peuvent toujours être utilisés pour l'authentification.

Que se passe-t-il si un utilisateur perd son appareil ?

Les clés d'accès créées sur Android sont sauvegardées et synchronisées avec les appareils Android connectés au même compte Google, de la même manière que les mots de passe sont sauvegardés dans le gestionnaire de mots de passe.

Cela signifie que les clés d'accès de l'utilisateur le suivent lorsqu'il remplace ses appareils. Pour se connecter à des applications sur un nouveau téléphone, l'utilisateur n'a qu'à valider son identité avec le verrouillage de l'écran de son appareil existant.

Dois-je configurer à la fois le déverrouillage de l'écran par authentification biométrique et par code ou schéma sur l'appareil pour me connecter avec des clés d'accès, ou l'une de ces méthodes suffit-elle ?

Une seule méthode de verrouillage de l'écran est suffisante.

Une clé d'accès est-elle liée à une méthode de déverrouillage de l'écran spécifique, comme une empreinte digitale, un code ou un schéma ?

Cela dépend de la plate-forme de l'appareil et de la façon dont l'utilisateur exécute la validation. Dans le cas du Gestionnaire de mots de passe de Google, les clés d'accès ne sont liées à aucune méthode d'authentification spécifique et peuvent être utilisées avec n'importe quel facteur de déverrouillage de l'écran disponible (biométrie, code ou schéma).

Un RP peut-il toujours créer des identifiants liés à un appareil qui ne sont pas synchronisés ?

Pour le moment, les identifiants non détectables créés dans Chrome sur Android ou dans une application Android à l'aide des API Play Services conservent leur comportement existant et restent donc liés à l'appareil.

Lorsque vous utilisez des clés d'accès, l'extension de clé publique de l'appareil, qui est en cours de développement, est une deuxième clé liée à l'appareil qui ne sera pas synchronisée et qui peut être utilisée pour l'analyse des risques. Toutefois, cela n'est pas encore pris en charge par les fournisseurs d'identifiants.

Comment fonctionne la synchronisation des clés d'accès sur un nouvel appareil ? Les utilisateurs doivent-ils avoir accès à l'appareil sur lequel ils ont créé une clé d'accès ?

Sur Android :

Si les clés d'accès ont été enregistrées dans le Gestionnaire de mots de passe de Google, il suffit à l'utilisateur de se connecter sur le nouvel appareil avec le même compte Google et de confirmer son identité avec le verrouillage de l'écran de son ancien appareil (code, schéma ou mot de passe). L'appareil précédent n'est pas nécessaire pour que l'utilisateur se connecte à d'autres appareils.
Si les clés d'accès ont été enregistrées auprès d'un autre fournisseur d'identifiants, cela dépendra des flux de connexion sur les nouveaux appareils de ce fournisseur d'identifiants. La plupart des fournisseurs d'identifiants synchronisent les identifiants avec le cloud et offrent aux utilisateurs des moyens d'y accéder sur de nouveaux appareils après s'être authentifiés.

Confidentialité et sécurité

Les informations biométriques de l'utilisateur sont-elles sécurisées ?

Oui, les données biométriques de l'utilisateur ne quittent jamais l'appareil et ne sont jamais stockées sur un serveur central où elles pourraient être volées lors d'une violation.

Un utilisateur peut-il se connecter à l'appareil d'un ami à l'aide d'une clé d'accès sur son téléphone ?

Oui. Les utilisateurs peuvent configurer un lien à usage unique entre leur téléphone et l'appareil d'une autre personne pour se connecter.

Les clés d'accès stockées dans le Gestionnaire de mots de passe de Google sont-elles protégées si le compte Google d'un utilisateur est piraté ?

Oui, les secrets des clés d'accès sont chiffrés de bout en bout. Un compte Google piraté n'exposerait pas les clés d'accès, car les utilisateurs doivent également déverrouiller l'écran de leur appareil Android pour les déchiffrer.

Articles associés

Quelle est la différence entre les clés d'accès et la fédération d'identité ?

La fédération d'identité est une excellente solution pour les services qui s'intègrent à un ou plusieurs fournisseurs OpenID. Il renvoie les informations de base du profil de l'utilisateur, telles que son nom et son adresse e-mail validée, et fournit, comme les clés d'accès, un mécanisme de connexion sûr et pratique. Les clés d'accès, en revanche, ne nécessitent pas d'intégration à un fournisseur OpenID, mais ne contiennent pas d'informations de profil de base. Les développeurs doivent recommander aux utilisateurs qui utilisent des mots de passe d'utiliser des clés d'accès. Les développeurs doivent envisager de manière indépendante d'intégrer un ou plusieurs fournisseurs OpenID pour donner le choix aux utilisateurs.