功能概述
FIDO (Fast IDentity Online,快速在线身份识别)是一个开放协议,旨在打造一个安全、易用的通用认证接口,解决强认证设备之间的互操作性不足以及用户面临的密码问题(难以创建和记住多个密码)可以能够无缝地在windows、OSX和Linux上使用,一个U2F Key可支持多个服务,一个账号可绑定多个U2F Key,再也不用担心网络钓鱼或盗号的情况。FIDO推出两种用于在线强安全认证的协议:无密码UAF 指纹/人脸认证和双因素认证U2F。FIDO2是在默认登录方式校验后又增加了一层第二因子的保护,这重保护是通过物理硬件来支持的。
WebAuthn 并不严格要求漫游硬件验证器。或者,可以使用软件认证器(例如在智能手机上实现)或平台认证器(即,直接在 WebAuthn 客户端设备上实现的认证器)。平台验证器的相关示例包括 Windows Hello 和 Android 操作系统。
1. 开启FIDO2认证
1.1 以IT管理员账号登录 飞天云信IDaaS管理平台;
1.2 在【认证管理】-【MFA认证开通】模块可以查看到企业支持的所有MFA认证方式;
1.3 操作状态栏图标,使「FIDO2」的状态变为“启用”。
1.4 在【认证管理】-【自适应认证】-【策略管理】下的规则中增加「FIDO2认证」认证方式。
2. 用户自助绑定FIDO2硬件令牌
2.1 若用户未激活FIDO2硬件令牌,可登录用户门户,进入【账号安全】;
2.2 点击FIDO硬件令牌后面的【绑定】按钮,按照指示进行绑定。
- 步骤一:输入设备名称。
- 步骤二:输入安全密钥。
- 步骤三:触摸FIDO硬件令牌的指纹区域后,绑定成功。
3. 用户自助绑定FIDO2(WebAuthn)身份验证器
3.1 若用户未激活FIDO2(WebAuthn)身份验证器,可登录用户门户,进入【账号安全】;
3.2 点击FIDO2(WebAuthn)身份验证器后面的【绑定】按钮,按照指示进行绑定。
- 步骤一:输入身份验证器名称。
- 步骤二:点击【绑定】按钮后,弹出验证Windows Hello PIN的提示框,输入正确的PIN码,点击【确定】后,即可绑定成功。
4. 管理员为用户绑定FIDO2硬件令牌
4.1 IT管理员在【用户管理】-【用户列表】模块可以查看到所有用户,选择某一用户,点击用户名进行用户详情页面;
4.2 选择「MFA多因素认证」标签页,展示该用户已绑定的所有认证设备,点击【绑定设备】按钮切换到绑定FIDO硬件令牌进行绑定;
5. FIDO2认证登录
用户登录应用时,选择FIDO2认证登录,插入硬件设备或者通过FIDO2(WebAuthn)进行登录,免除动态密码输入环节。
