FIDO2认证源

12/12/2021 认证源

# 说明

本文为您介绍通过FIDO2认证源来登录IDaaS平台及应用系统。您可以在IDaaS平台中配置FIDO2认证源,在登录页面选择FIDO2登录方式登录各应用系统,从而实现单点登录的效果,在给用户带来更简易便捷的登录方式的同时提供更安全可靠的登录体验。

# 前置条件:

  • 1.用户需要在自己电脑设备上开启安全密钥 (USB或蓝牙) 或生物识别身份验证器 (WindowsHello、Touch ID等)。本文以WindowsHello的PIN和指纹登录为例。
  • 2.拥有IDaaS企业中心管理员权限。

# 配置流程

# 电脑设备开启FIDO2认证

电脑设备上开启安全密钥 (USB或蓝牙) 或生物识别身份验证器 (WindowsHello、Touch ID等)。如下以开启WindowsHello为例。

# IDaaS平台开启FIDO2内置认证源(默认已开启)

  • 1.管理员登录IDaaS平台企业中心;
  • 2.选择导航栏中【认证】-【认证源管理】-【内置认证源】,添加FIDO2证源;

  • 3.配置需要填写的认证源参数信息。

配置参数说明:

参数 参数说明
图标 可自定义图标。
显示名称 自定义认证源显示名称
Relying Party Entity Name 系统自动生成,为租户名。
Relying Party ID 系统自动生成,为租户域名。
需要常驻密钥 验证器生成 Public Key Credential 作为Client-side-resident Public Key Credential Source。默认设置为“否”
用户验证 验证器确认实际验证用户,应用于注册和认证操作。默认值为推荐
Attestation Conveyance Preference WebAuthn API 实现如何生成证明声明的首选项。应用于注册操作。默认值为“DIRECT”
验证方式 WebAuthn 客户端可接受的验证器附件模式。应用于注册操作。默认值为不指定
允许相同的身份验证器注册 允许重新注册同类型身份验证器。默认值为“是”
超时时间 (秒) 如果设置为 180秒,则其行为取决于 WebAuthn 身份验证器的实现。应用于注册和认证操作。默认值为 180秒
  • 4.开启FIDO2认证;

选择【资源】--》【应用】--》【用户中心】,切换至【登录配置】Tab页,点击FIDO2认证操作栏的启用操作;

  • 5.至此FIDO2认证源在企业中心配置已完成。

# 用户中心激活绑定

1.用户登录用户中心(https://xxx.bccastle.com)。

点击右上角头像,进入【账号设置】--》【账号安全】,绑定前面已经添加的安全密钥或生物识别身份验证器。 未添加安全密钥或生物识别身份验证器时,无法绑定,绑定按钮为不可用状态。

添加过安全密钥或生物识别身份验证器时,如下图(添加多种验证器时可多选绑定),若需修改则可选择移除已添加的认证重新添加。

至此,用户绑定认证器操作完成。重新登录账号时,可以使用FIDO2认证源进行登录。

# 验证FIDO2认证登录

  • 1.登录用户中心,选择FIDO2认证方式登录;

  • 2.点击FIDO2输入用户名或者邮箱后进行登录;

若未添加或者激活绑定任何认证时,提示需先添加。

添加相关认证后,输入用户名,通过相关验证后,成功登录。

Last Updated: 8/5/2022, 10:29:04 AM