Oracle Cloud Infrastructure - Dokumentation

FIDO-Authentikator konfigurieren

Konfigurieren Sie die Fast ID Online-(FIDO-)Authentifizierung in einer Identitätsdomain in IAM, damit sich Benutzer mit einem externen Authentifizierungsgerät wie YubiKey oder einem internen Gerät wie Windows Hello oder Mac Touch ID authentifizieren können.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
  3. Klicken Sie auf der Seite mit den Domaindetails auf Sicherheit.
  4. Klicken Sie auf der Seite Sicherheit auf Zwei-Faktor-Authentifizierung.
  5. Klicken Sie auf die Registerkarte FIDO-Authentikator.
  6. Konfigurieren Sie die FIDO-Authentikatoreinstellungen:
    • Timeout (Millisekunden): Die Zeitspanne, in der der Benutzer handeln muss. Wenn der Benutzer nicht innerhalb dieses Zeitraums handelt, verläuft die Authentifizierung nicht erfolgreich. Der Standardwert beträgt 60,000 Millisekunden (6 Sekunden).
    • Bescheinigung: Dies ist ein Schlüsselpaar, das zum Gerät gehört und bei der Herstellung zugewiesen wird. Es ist spezifisch für das Gerätemodell und wird verwendet, wenn das Gerät registriert wird, um das spezifische Modell zu beweisen.
      • Keine gibt an, dass die Relying Party nicht an der Authentikatorbescheinigung interessiert ist.
      • Indirekt gibt an, dass die Relying Party anonymisierte Bestätigungsdaten zulässt.
      • Direkt gibt an, dass die Relying Party die Bestätigungsdaten vom Authentikator erhalten möchte.
    • Authentikatorauswahl - Anhang: Steuert den Authentifizierungstyp, bei dem sich ein Benutzer registriert.
      • Plattform: Wählen Sie Windows Hello und Mac Touch ID.
      • Plattformübergreifend: Wählen Sie diese Option aus, um einen plattformübergreifenden Authentikator wie YubiKey zu verwenden.
      • Beide: Dieser Wert ist der Standardwert.
    • Authentikatorauswahl - Resident Key: Ob die Unterstützung für den Resident Key aktiviert werden soll.

      None (Standard) gibt an, dass der Private Key verschlüsselt und auf dem Server gespeichert ist.

    • Authentikatorauswahl - Benutzerüberprüfung: Die Anforderungen der Relying Party an die Benutzerüberprüfung während der Registrierung. Bevorzugt ist der Standardwert.
    • Public-Key-Typen: Der kryptografische Algorithmus, mit dem ein Public-Key-Paar während der Registrierung generiert wird. IAM zertifiziert nur ES256 (Standard), RS1 und RS256.
    • Berechtigungsnachweise ausschließen: Wird von Parteien verwendet, um das Erstellen mehrerer Berechtigungsnachweise für denselben Account mit einem Authentikator zu begrenzen. Standardmäßig nicht gewählt.
  7. Klicken Sie auf Änderungen speichern.
  8. Bestätigen Sie die Änderungen, wenn Sie aufgefordert werden.
Die FIDO-Authentifizierung ist jetzt ein zusätzlicher Anmeldefaktor.