如何使用安当ASP进行多因素身份认证

多因素认证（Multi Factor Authentication，简称 MFA）是一种非常简单的安全实践方法，能够在用户名称和密码之外再额外增加一层保护。启用 MFA 后，用户登录时，除了需要提供用户名和密码外（第一次身份验证），还需要进行第二次身份验证，多因素认证结合起来将为你的帐号和资源提供更高的安全保护。

使用安当ASP进行进行多因素认证主要包括以下步骤:

1. 注册安当ASP开放平台开发者

安当提供了ASP开发平台，用户可以通过注册ASP开放平台成为一名开发者，注册成为开发者之后即可登录使用此功能。

2. 创建应用

登录开发者后台后即可使用平台功能，每个开发者对应一个企业，每个应用对应一个企业应用系统，开发者可以创建任意数量的应用进行集成自己应用实现想要的功能。

3. 开启MFA多因素认证

开发者为自己想要开启MFA多因素认证的应用进行配置，并且需要购买开启对应的令牌。

4. 前后端集成

开发者创建应用后会获得APPID和Secret，开发者可以通过提供的集成示例进行前后端集成。

5. 用户绑定

集成完成后，用户访问自己的业务系统登录页即可跳转至SSO登录页，如果开启了多因素认证则会提示用户绑定令牌，用户登录时即可在SSO登录页进行多因素认证方式的绑定。

6. 用户登录

绑定完多因素认证令牌后，在登录的时候即可使用令牌进行多因素身份验证。

目前安当ASP提供了如下几种方式:

• 支持FIDO

FIDO：FIDO既指FIDO2，FIDO2提供基于WebAuthn标准的FIDO2 线上快速身份验证客户端实现，为应用及浏览器提供安卓Java API，支持使用USB、NFC、蓝牙漫游认证器，以及指纹和3D面容的平台认证器，进行安全认证。

• 支持OTP

OTP：一次性密码（One Time Password，简称OTP），又称“一次性口令”，是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合，iKEY一次性密码已在金融、电信、网游等领域被广泛应用，有效地保护了用户的安全。

OTP（国密）:支持国密算法的一次性口令。

• 支持硬Key

USB Key，采用国产高性能智能卡芯片，内置SSF33、SM1、SM2、SM3、SM4等国产算法，支持高速数据国密算法加解密，提供CSP以及PKCS11和国密接口，完全符合国家密码管理局关于“密钥不落地”的技术规范要求

UKEY KeyId：UKEY keyId指的是UKEY唯一序列号，通过绑定UKEY唯一ID进行身份认证。

UKEY PUB: 通过UKEY内部存储的用户密钥对来进行签名验签操作达到用户身份认证。

UKEY 证书: 支持UKEY内存放证书认证。