内置认证源
概述
本文为您介绍通过FIDO2认证源(人脸、指纹等生物认证)来登录OneAccess平台集成的应用系统。您可以在OneAccess平台中配置FIDO2认证源,在登录页面选择FIDO2登录方式登录各应用系统,从而实现单点登录的效果,在给用户带来更简易便捷的登录方式的同时提供更安全可靠的登录体验。
配置流程
该配置流程以用户PC端访问用户门户为例,您可以按需选择应用和配置应用的认证方式,配置流程类似。
前提条件
- 请确保您已拥有OneAccess管理门户的访问权限。
- 用户PC端设备拥有安全密钥 (USB或蓝牙) 或生物识别身份验证器 (WindowsHello、Touch ID等)。
PC端开启FIDO2认证
在用户PC端设备上开启安全密钥 (USB或蓝牙) 或生物识别身份验证器 (WindowsHello、Touch ID等)。下文以开启WindowsHello为例。
在OneAccess中配置FIDO2认证源
在OneAccess中添加FIDO2认证源,并配置应用的信息,确保用户可以通过FIDO2方式登录OneAccess用户门户。
- 登录OneAccess管理门户。
- 在导航栏中,选择“认证 > 认证源管理 > 内置认证源 > FIDO2”。
- 配置需要填写的认证源参数信息。
图2 配置FIDO2认证源
表1 配置参数 参数
说明
图标
可自定义图标。
显示名称
自定义认证源显示名称。
开启无用户名流程
开启后,无需输入用户名/邮箱信息,用户将通过选择依赖方ID或已绑定认证器找到认证器私钥完成登录。
需要常驻密钥
认证器生成Public Key Credential作为Client-side-resident Public Key Credential Source。默认设置为 “否” ,当开启无用户名流程时,此参数同步调整为 “是” 。
用户验证
认证器确认实际验证用户,应用于注册和认证操作。默认值为 “推荐” ,当开启无用户流程,此参数同步调整为 “必须” 。
认证器传送类型
WebAuthn API实现如何生成证明声明的首选项。应用于注册操作。默认值为 “DIRECT” 。
认证器绑定方式
WebAuthn客户端可接受的验证器附件模式。应用于注册操作。默认值为不指定。
允许相同的身份认证器注册
允许重新注册同类型身份验证器。默认值为 “是” 。
连接认证器超时
用于绑定和认证操作时连接身份认证器的超时设置,默认为 180秒。
可信任的认证器AAGUID
可添加信任的认证器的 AAGUID。应用于绑定认证器操作。如果此操作未添加,则可注册任何认证器。
在OneAccess中开启FIDO2认证
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击“用户门户”。
- 在“应用信息”页面,单击“用户门户”应用图标。
- 选择“登录配置 > 网站应用”,单击认证方式名为“FIDO2(WebAuthn)”操作列的
开启FIDO2认证。
图3 开启FIDO2认证
在OneAccess用户门户激活绑定
- 登录OneAccess用户门户,鼠标放置在右上角的用户名上,单击 "账号设置"。
- 选择 “账号安全”,单击此前添加的安全密钥或生物识别身份验证器后的“绑定”。
- 未添加安全密钥或生物识别身份验证器时,无法绑定,“绑定”按钮为不可用状态。
- 添加多种验证器时可绑定多个,如需修改则可选择移除已添加的认证重新添加。
验证FIDO2认证登录OneAccess用户门户
用户访问用户门户,选择FIDO2认证方式登录,弹出安全密钥或生物识别身份认证器,通过相关验证后,成功登录。
在无痕浏览器下无法绑定生物识别身份认证器,即无法使用FIDO2认证登录。
