多因素认证(Multi Factor Authentication,简称 MFA)是一种非常简单的安全实践方法,能够在用户名称和密码之外再额外增加一层保护。启用 MFA 后,用户登录时,除了需要提供用户名和密码外(第一次身份验证),还需要进行第二次身份验证,多因素认证结合起来将为你的帐号和资源提供更高的安全保护。
使用安当ASP进行进行多因素认证主要包括以下步骤:
- 注册安当ASP开放平台开发者
安当提供了ASP开发平台,用户可以通过注册ASP开放平台成为一名开发者,注册成为开发者之后即可登录使用此功能。
- 创建应用
登录开发者后台后即可使用平台功能,每个开发者对应一个企业,每个应用对应一个企业应用系统,开发者可以创建任意数量的应用进行集成自己应用实现想要的功能。
- 开启MFA多因素认证
开发者为自己想要开启MFA多因素认证的应用进行配置,并且需要购买开启对应的令牌。
- 前后端集成
开发者创建应用后会获得APPID和Secret,开发者可以通过提供的集成示例进行前后端集成。
- 用户绑定
集成完成后,用户访问自己的业务系统登录页即可跳转至SSO登录页,如果开启了多因素认证则会提示用户绑定令牌,用户登录时即可在SSO登录页进行多因素认证方式的绑定。
- 用户登录
绑定完多因素认证令牌后,在登录的时候即可使用令牌进行多因素身份验证。
目前安当ASP提供了如下几种方式:
- 支持FIDO
FIDO:FIDO既指FIDO2,FIDO2提供基于WebAuthn标准的FIDO2 线上快速身份验证客户端实现,为应用及浏览器提供安卓Java API,支持使用USB、NFC、蓝牙漫游认证器,以及指纹和3D面容的平台认证器,进行安全认证。
- 支持OTP
OTP:一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合,iKEY一次性密码已在金融、电信、网游等领域被广泛应用,有效地保护了用户的安全。
OTP(国密):支持国密算法的一次性口令。
- 支持硬Key
USB Key,采用国产高性能智能卡芯片,内置SSF33、SM1、SM2、SM3、SM4等国产算法,支持高速数据国密算法加解密,提供CSP以及PKCS11和国密接口,完全符合国家密码管理局关于“密钥不落地”的技术规范要求
UKEY KeyId:UKEY keyId指的是UKEY唯一序列号,通过绑定UKEY唯一ID进行身份认证。
UKEY PUB: 通过UKEY内部存储的用户密钥对来进行签名验签操作达到用户身份认证。
UKEY 证书: 支持UKEY内存放证书认证。
