Bouton "Se connecter avec une clé d'accès"
Les clés d'accès permettent de se connecter sans formulaire en quelques gestes et avec le verrouillage de l'écran de l'appareil. Une clé d'accès contenant le nom d'utilisateur et le nom à afficher de l'utilisateur, le navigateur ou le système d'exploitation peut afficher un sélecteur de compte pour que l'utilisateur choisisse un compte avec lequel se connecter, puis déverrouille l'écran pour effectuer la validation. En plaçant un bouton "Se connecter avec une clé d'accès" sur un site Web ou une application, l'utilisateur peut lancer le processus.
Cette expérience utilisateur est recommandée pour les RP qui sont certains de n'avoir que des utilisateurs de clé d'accès. Si les utilisateurs disposent d'un RP sans clé d'accès, ils doivent tout de même les autoriser à se connecter à l'aide d'autres méthodes (nom d'utilisateur et mot de passe, par exemple). Dans ce cas, nous vous recommandons d'utiliser les suggestions de saisie automatique dans les champs du formulaire.
Suggestions de saisie automatique de mots de passe dans les champs de formulaire
L'authentification basée sur la clé d'accès peut être proposée via un simple bouton "Se connecter avec une clé d'accès". Toutefois, si certains utilisateurs disposent de mots de passe, le RP doit également leur fournir un formulaire de connexion. Pour prendre en charge ces deux types d'utilisateurs, un formulaire de saisie du nom d'utilisateur et du mot de passe peut être utilisé à la place, ce qui permet à l'utilisateur de voir des suggestions de saisie automatique pour les mots de passe et les clés d'accès (le cas échéant). De plus, cela évite aux utilisateurs d'avoir à mémoriser un mot de passe ou un mot de passe.
Avec cette configuration, l'utilisateur voit un sélecteur de compte dès qu'il place un curseur sur un champ de formulaire. Lorsque vous sélectionnez un compte, si celui-ci est basé sur un mot de passe, un champ de nom d'utilisateur et de mot de passe est automatiquement renseigné. Si le compte est associé à une clé d'accès, l'utilisateur doit immédiatement déverrouiller l'appareil et tenter de le connecter.
Cette expérience utilisateur convient lors de la transition d'une RP de l'authentification multifacteur ou mot de passe à l'authentification sans mot de passe à l'aide de clés d'accès.
Découvrez comment créer cette expérience utilisateur:
Réauthentification
La réauthentification est une expérience utilisateur courante lorsqu'un utilisateur est déjà connecté, mais nécessite une authentification supplémentaire parce qu'une session a expiré ou parce qu'il est sur le point d'effectuer une opération sensible (ajout d'une adresse de livraison ou achat, par exemple).
Lors de l'authentification par mot de passe, l'utilisateur est invité à saisir son mot de passe pour se réauthentifier. Toutefois, avec des clés d'accès, le RP peut simplement demander le déverrouillage de l'appareil pour la réauthentification.
Cette authentification rapide garantit que le même utilisateur est toujours devant l'appareil, ce qui renforce la sécurité.
Découvrez comment créer cette expérience utilisateur:
- Créer votre première application WebAuthn (atelier de programmation)
Se connecter avec un téléphone
Les clés d'accès sont synchronisées sur tous les appareils qui font partie du même écosystème. Par exemple, si un utilisateur crée une clé d'accès sur Android, elle est disponible sur tous les appareils Android tant qu'il est connecté au même compte Google. Toutefois, la même clé d'accès n'est pas disponible sur iOS, macOS ou Windows, même si vous utilisez le même navigateur, comme Chrome.
Un utilisateur peut utiliser une clé d'accès sur son téléphone pour se connecter à d'autres appareils en scannant un code QR, à condition que le téléphone soit à proximité de l'ordinateur portable et que l'utilisateur approuve la connexion sur le téléphone. Cela fonctionne sur différents systèmes d'exploitation et navigateurs.
Supposons qu'un utilisateur possède un appareil Android et crée une clé d'accès sur un site Web via Chrome. La clé d'accès est enregistrée et synchronisée entre les appareils Android, mais pas avec les autres écosystèmes. Lorsque l'utilisateur tente de se connecter au même site Web sur macOS 13 Safari, aucune clé d'accès n'est enregistrée sur Mac. Il peut toujours se connecter à l'appareil Android en choisissant d'utiliser une clé d'accès à partir d'un deuxième appareil. Safari affiche un code QR que l'utilisateur peut scanner à l'aide du téléphone Android, sélectionne la clé d'accès et vérifie le verrouillage de l'écran. Une signature de clé d'accès unique est transférée vers Safari sur Mac, que le site Web utilise ensuite pour connecter l'utilisateur. Les deux appareils vérifient qu'ils sont à proximité l'un de l'autre via le Bluetooth.
Ce mécanisme multi-appareil et multisystème d'authentification par mot de passe est standardisé dans FIDO et disponible dans Chrome et Safari avec d'autres navigateurs. Aucune action supplémentaire n'est requise pour activer cette expérience utilisateur. Elle est automatiquement activée lorsque les développeurs utilisent le bouton "Se connecter avec une clé d'accès" ou la méthode de saisie automatique des clés décrite ci-dessus.