Oracle Cloud Infrastructure - Dokumentation

FIDO-Authentikator konfigurieren

Konfigurieren Sie die Fast ID Online-(FIDO-)Authentifizierung in einer Identitätsdomain in IAM, damit sich Benutzer mit einem externen Authentifizierungsgerät wie einem YubiKey oder einem internen Gerät wie Windows Hello oder Mac Touch ID authentifizieren können.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
  3. Wählen Sie auf der Seite mit den Domaindetails die Option Authentifizierung aus.
  4. Wählen Sie auf der Seite Authentifizierung in der Zeile Fast ID Online-(FIDO-)Passkeyauthentikator die Option Bearbeiten aus.
  5. Konfigurieren Sie die FIDO-Authentikatoreinstellungen:
    • Timeout (Millisekunden): Die Dauer, in der der Benutzer handeln muss. Wenn der Benutzer nicht innerhalb dieses Zeitraums handelt, schlägt die Authentifizierung fehl. Der Standardwert beträgt 60,000 Millisekunden (6 Sekunden).
    • Attestation: Dies ist ein Schlüsselpaar, das zu dem Gerät gehört und während der Herstellung zugewiesen wird. Es ist spezifisch für das Gerätemodell und wird verwendet, wenn das Gerät registriert wird, um das spezifische Modell zu beweisen.
      • Kein Wert: Gibt an, dass die zugrunde liegende Partei nicht an der Authentifizierungsbestätigung interessiert ist.
      • Indirekt: Gibt an, dass der Relying Party anonymisierte Bestätigungsdaten zulässt.
      • Direkt: Gibt an, dass die Relying Party die Bestätigungsdaten vom Authentifizierer erhalten möchte.
    • Authentikatorauswahl - Anhang: Steuert den Authentifizierungstyp, bei dem ein Benutzer registriert ist.
      • Plattform: Wählen Sie diese Option aus, um Windows Hello und Mac Touch ID zu verwenden.
      • Plattformübergreifend: Aktivieren Sie diese Option, um einen plattformübergreifenden Authentikator wie YubiKey zu verwenden.
      • Beide: Dieser Wert ist der Standardwert.
    • Assistenzschlüssel für Authentikatorauswahl: Wählen Sie, ob die Unterstützung für einen residenten Schlüssel aktiviert ist und wie.
      • Kein Wert: (Standard) gibt an, dass der Private Key verschlüsselt und auf dem Server gespeichert ist.
      • Erforderlich: Gibt an, dass die Relying Party Client-seitige erkennbare Zugangsdaten benötigt und bereit ist, einen Fehler zu erhalten, wenn keine clientseitigen erkennbaren Zugangsdaten erstellt werden können.
      • Bevorzugt: Gibt an, dass die Relying Party das Erstellen von clientseitigen erkennbaren Anmeldeinformationen bevorzugt, servereitige Zugangsdaten jedoch ebenfalls akzeptiert.
      • Nicht empfohlen: Gibt an, dass die Relying Party das Erstellen von serverseitigen, erkennbaren Zugangsdaten bevorzugt, aber auch clientseitige erkennbare Zugangsdaten akzeptiert.
    • Authentikatorauswahl - Benutzerverifizierung: Die Anforderungen der Relying Party zur Benutzerverifizierung während der Registrierung.
      • Erforderlich: Gibt an, dass die Relying Party eine Benutzerprüfung für den Vorgang erfordert, oder dass der Vorgang nicht erfolgreich verläuft.
      • Bevorzugt: (Standard) gibt an, dass die zugrunde liegende Partei die Benutzerverifizierung für den Vorgang bevorzugt, wenn möglich.
      • Nicht empfohlen: Gibt an, dass die zugrunde liegende Partei keine Benutzerverifizierung während des Vorgangs verwenden möchte.
    • Public-Key-Typen: Der kryptografische Algorithmus, mit der ein Public-Key-Paar während der Anmeldung generiert wird IAM zertifiziert nur ES256 (Standard), RS1 und RS256.
    • Zugangsdaten ausschließen: (standardmäßig deaktiviert). Wird von Relying Partys verwendet, um das Erstellen mehrerer Zugangsdaten für denselben Account mit einem Authentikator zu begrenzen.
  6. Wählen Sie Änderungen speichern aus.
  7. Bestätigen Sie die Änderungen, wenn Sie dazu aufgefordert werden.
Die FIDO-Authentifizierung ist jetzt ein zusätzlicher Anmeldefaktor.