Bouton "Se connecter avec une clé d'accès"
Les clés d'accès permettent une expérience de connexion sans formulaire en quelques gestes et via le verrouillage de l'écran de l'appareil. Étant donné qu'une clé d'accès contient le nom d'utilisateur et le nom à afficher, le navigateur ou le système d'exploitation peut afficher un sélecteur de compte permettant à l'utilisateur de choisir le compte avec lequel se connecter, puis de déverrouiller l'écran pour vérifier. En plaçant un bouton "Se connecter avec une clé d'accès", un site Web ou une application peut permettre à l'utilisateur de lancer le flux.
Cette expérience utilisateur est recommandée pour les tiers assujettis à des restrictions qui sont certains de n'avoir que des utilisateurs de clés d'accès. Si un tiers assujetti à des restrictions comporte des utilisateurs sans clé d'accès, ils doivent tout de même les autoriser à se connecter à l'aide d'autres méthodes, telles que le nom d'utilisateur et le mot de passe, à l'aide d'un formulaire. Dans ce cas, nous vous recommandons d'utiliser les suggestions de saisie automatique de clés d'accès dans les champs de formulaire.
Suggestions de saisie automatique de clés d'accès dans les champs de formulaire
L'authentification basée sur une clé d'accès peut être proposée via un simple bouton "Se connecter avec une clé d'accès". Toutefois, si certains utilisateurs possèdent des mots de passe, le tiers assujetti à des restrictions doit également leur proposer un formulaire de connexion. Pour prendre en charge ces deux types d'utilisateurs, vous pouvez utiliser un formulaire de nom d'utilisateur et de mot de passe à la place, ce qui permettra à l'utilisateur de voir des suggestions de saisie automatique pour les mots de passe et les clés d'accès (si disponibles). Cela évite également aux utilisateurs d'avoir à se souvenir s'ils utilisent une clé d'accès ou un mot de passe.
Avec cette configuration, un utilisateur voit un sélecteur de compte dès qu'il place le curseur sur un champ de formulaire. Lors de la sélection d'un compte, si le compte est basé sur un mot de passe, un champ de saisie du nom d'utilisateur et du mot de passe est automatiquement renseigné. Si le compte est basé sur une clé d'accès, il demande immédiatement à l'utilisateur de déverrouiller l'appareil et tente de se connecter.
Cette expérience utilisateur est adaptée lorsqu'une RP passe d'une authentification par mot de passe ou multifacteur à une authentification sans mot de passe à l'aide de clés d'accès.
Découvrez comment créer cette expérience utilisateur:
Réauthentification
La réauthentification est une expérience utilisateur courante lorsqu'un utilisateur est déjà connecté, mais nécessite une authentification supplémentaire, car une session a expiré ou parce que l'utilisateur est sur le point d'effectuer une opération sensible, comme ajouter une adresse de livraison ou effectuer un achat.
Dans le cas de l'authentification par mot de passe, un utilisateur est invité à saisir son mot de passe pour s'authentifier de nouveau, mais avec les clés d'accès, le tiers assujetti à des restrictions peut simplement demander à déverrouiller l'appareil pour s'authentifier à nouveau.
Cette authentification rapide garantit que le même utilisateur est toujours devant l'appareil, ce qui est plus sûr.
Découvrez comment créer cette expérience utilisateur:
- Créer votre première application WebAuthn (atelier de programmation)
Se connecter avec un téléphone
Les clés d'accès sont synchronisées entre les appareils du même écosystème. Par exemple, si un utilisateur crée une clé d'accès sur Android, celle-ci est disponible sur tous les appareils Android tant qu'il est connecté au même compte Google. Toutefois, la même clé d'accès n'est pas disponible sur iOS, macOS ou Windows, même si vous utilisez le même navigateur, comme Chrome.
Un utilisateur peut utiliser une clé d'accès sur son téléphone pour se connecter sur d'autres appareils en scannant un code QR, à condition que le téléphone se trouve à proximité de l'ordinateur portable et que l'utilisateur approuve la connexion. Elle fonctionne sur différents systèmes d'exploitation et navigateurs.
Supposons qu'un utilisateur possède un appareil Android et ait créé une clé d'accès sur un site Web via Chrome. La clé d'accès est enregistrée et synchronisée entre les appareils Android, mais pas avec les autres écosystèmes. Lorsque l'utilisateur tente de se connecter au même site Web sur macOS 13 Safari, aucune clé d'accès n'est enregistrée sur Mac. L'utilisateur peut toujours se connecter à l'aide de l'appareil Android en choisissant d'utiliser une clé d'accès sur un deuxième appareil. Safari affiche un code QR que l'utilisateur peut scanner à l'aide du téléphone Android, sélectionner la clé d'accès et vérifier avec le verrouillage de l'écran. Une signature de clé d'accès ponctuelle est retransférée vers Safari sur Mac, que le site Web utilise ensuite pour connecter l'utilisateur. Les deux appareils vérifient qu'ils sont proches l'un de l'autre à l'aide du Bluetooth.
Ce mécanisme inter-appareil et interopérable de l'authentification par clé d'accès est standardisé sous FIDO et disponible dans Chrome et Safari avec d'autres navigateurs. Aucune action supplémentaire n'est requise pour activer cette expérience utilisateur. Elle est automatiquement activée lorsque les développeurs utilisent le bouton "Se connecter avec une clé d'accès" ou la saisie automatique de clé d'accès décrite ci-dessus.