配置人脸、指纹等生物认证
认证源
# 概述
本文为您介绍通过FIDO2认证源来登录IDaaS平台集成的应用系统。您可以在IDaaS平台中配置FIDO2认证源,在登录页面选择FIDO2登录方式登录各应用系统,从而实现单点登录的效果,在给用户带来更简易便捷的登录方式的同时提供更安全可靠的登录体验。
# 前提条件
- 拥有IDaaS企业中心平台的管理员权限。
- 用户PC端设备拥有安全密钥 (USB或蓝牙) 或生物识别身份验证器 (WindowsHello、Touch ID等)。
- 应用已在IDaaS平台集成。
# 配置流程
# 操作步骤
# PC端开启FIDO2认证
在用户PC端设备上开启安全密钥 (USB或蓝牙) 或生物识别身份验证器 (WindowsHello、Touch ID等)。下文以开启WindowsHello为例。
# IDaaS平台配置FIDO2认证源
登录IDaaS平台企业中心,在上方导航栏选择 “认证 > 认证源管理 > 内置认证源” ,找到FIDO2证源,默认已开启。
配置需要填写的认证源参数信息。
配置参数说明:
参数 参数说明 图标 可自定义图标。 显示名称 自定义认证源显示名称。 开启无用户名流程 开启后,无需输入用户名/邮箱信息,用户将通过选择依赖方 ID 或已绑定认证器找到认证器私钥完成登录。 需要常驻密钥 认证器生成 Public Key Credential 作为Client-side-resident Public Key Credential Source。默认设置为 “否” ,当开启无用户名流程,此参数同步调整为 “是” 。 用户验证 认证器确认实际验证用户,应用于注册和认证操作。默认值为 “推荐” ,当开启无用户流程,此参数同步调整为 “必须” 。 认证器传送类型 WebAuthn API 实现如何生成证明声明的首选项。应用于注册操作。默认值为 “DIRECT” 。 认证器绑定方式 WebAuthn 客户端可接受的验证器附件模式。应用于注册操作。默认值为不指定。 允许相同的身份认证器注册 允许重新注册同类型身份验证器。默认值为 “是” 。 连接认证器超时 用于绑定和认证操作时连接身份认证器的超时设置,默认为 180秒。 可信任的认证器AAGUID 可添加信任的认证器的 AAGUID。应用于绑定认证器操作。如果此操作未添加,则可注册任何认证器。 配置完成后在上方导航栏选择 “资源 > 应用” ,以用户中心应用为例,进入应用详情切换至 “登录配置” 页面,启用FIDO2 (WebAuthn)开关。
# 用户中心激活绑定
登录用户中心,右上角下拉用户选择 "账号设置"。
进入账号设置页面选择 “账号安全” ,绑定此前添加的安全密钥或生物识别身份验证器。
- 未添加安全密钥或生物识别身份验证器时,无法绑定,绑定按钮为不可用状态。
- 添加多种验证器时可多选绑定,若需修改则可选择移除已添加的认证重新添加。
# 验证FIDO2认证登录
在用户中心登录页面,选择FIDO2认证方式登录,弹出安全密钥或生物识别身份认证器,通过相关验证后,成功登录。
在无痕浏览器下无法绑定生物识别身份认证器,即无法使用FIDO2认证登录。
