安全密钥
FIDO2概述
FIDO2(Fast IDentity Online 2)是一项开放的用户身份验证标准,旨在提升用户登录过程中的安全性与可信度。FIDO2由W3C 的Web身份验证规范(WebAuthn API)和FIDO联盟的客户端到认证器协议(CTAP)共同构成,其中CTAP是一种应用层协议,用于支持客户端或平台(例如浏览器或操作系统)与外部认证器之间的通信。FIDO2身份验证基于加密算法生成私钥和公钥对——即一组数学上相关联的长随机数。该密钥对直接在用户终端设备(如台式机、笔记本电脑、移动设备或安全密钥)上完成身份验证。
您可以使用当前支持的配置,将FIDO2设备(也称为安全密钥)设置为IAM中的一种多重身份验证(MFA)方式。支持的设备包括符合 FIDO2 标准的硬件密钥以及兼容FIDO2的浏览器。在注册FIDO2设备前,请确保您的浏览器和操作系统(OS)均为最新版本。请注意,不同浏览器、认证器以及操作系统客户端对该功能的支持可能存在差异。如某一浏览器无法完成注册,建议尝试使用其他浏览器进行操作。
支持FIDO2的浏览器
FIDO2安全密钥在Web浏览器中的使用,依赖于浏览器和操作系统两者的共同支持。以下浏览器当前支持使用安全密钥:
|
浏览器 |
MacOS 15.6.1+ |
Windows 10 |
Windows 11 |
iOS 18.6.2+ |
Android 9+ |
|---|---|---|---|---|---|
|
Chrome |
支持 |
支持 |
支持 |
支持 |
支持 |
|
Safari |
支持 |
不支持 |
不支持 |
支持 |
不支持 |
|
Edge |
支持 |
支持 |
支持 |
支持 |
支持 |
|
Firefox |
支持 |
支持 |
支持 |
支持 |
支持 |
在Android(版本9或更高版本)上,如果设备安装了Google Play服务(版本24或更高版本),则FIDO2可由其提供支持。
要详细了解支持FIDO2认证设备的浏览器,请参见 Operating system and web browser support for FIDO2 and U2F。
约束与限制
1个IAM用户最多支持绑定8个安全密钥。
- 进入统一身份认证服务新版控制台,在左侧导航栏选择“用户”页签。
- 单击IAM用户名称,进入用户详情界面。
- 选择“安全设置”页签,找到“多因素认证设备”。
- 单击“添加MFA设备”。
- 指定MFA设备名称。仅支持大小写字母、数字或特殊字符(-_)。
- 选择MFA设备。此处选择“安全密钥”。
- 单击“下一步”。
- 如需要设置Windows Hello的验证方式,需要在弹窗中选择验证方式(如PIN码、面孔、指纹等)。
图1 设置Windows Hello
如果Windows设备不支持开启人脸识别和指纹,将不会出现“面孔”、“指纹”等选项。FIDO2协议将会根据您设备支持的认证类型弹出对应的选项。
- 输入PIN码(或识别面孔、指纹),系统认证成功后,将会出现绑定成功的提示弹窗。单击“确定”,安全密钥将出现在多因素认证设备列表中。
图2 绑定成功
- 如需要设置FIDO2类型的安全密钥,则在弹窗中选择“使用其他设备”并将安全密钥设备插入计算机USB端口。
图3 使用其他设备
- 在新的弹窗中,选择“安全密钥”,单击“下一页”。
图4 安全密钥
- 单击“确定”,确认安全密钥设置。
图5 确认安全密钥设置
- 单击“确定”,继续安装安全密钥。
图6 继续安装安全密钥
- 输入安全密钥的PIN码,单击“确定”。
图7 输入安全密钥PIN码
- 触摸安全密钥进行绑定。
图8 触摸安全密钥
- 系统认证成功后,将会出现绑定成功的提示弹窗。单击“确定”,安全密钥将出现在多因素认证设备列表中。
图9 绑定成功
如何解绑安全密钥
- 进入统一身份认证服务新版控制台,在左侧导航栏选择“用户”页签。
- 单击IAM用户名称,进入用户详情界面。
- 选择“安全设置”页签,找到“多因素认证设备”。
- 单击安全密钥设备“操作”列的“解绑”。
- 在弹出的对话框中,输入“YES”。
图10 确认解绑
- 单击“确定”,完成解绑安全密钥。
