Oracle Cloud Infrastructure - Dokumentation

FIDO-Authentikator konfigurieren

Konfigurieren Sie die Fast ID Online-(FIDO-)Authentifizierung in einer Identitätsdomain in IAM, damit sich Benutzer mit einem externen Authentifizierungsgerät wie YubiKey oder einem internen Gerät wie Windows Hello oder Mac Touch ID authentifizieren können.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.
  3. Wählen Sie auf der Seite mit den Domaindetails die Option Sicherheit aus.
  4. Wählen Sie auf der Seite Sicherheit die Option Zwei-Faktor-Authentifizierung aus.
  5. Wählen Sie die Registerkarte FIDO-Authentikator aus.
  6. Konfigurieren Sie die FIDO-Authentikatoreinstellungen:
    • Timeout (Millisekunden): Die Zeitspanne, in der der Benutzer handeln muss. Wenn der Benutzer nicht innerhalb dieses Zeitraums handelt, verläuft die Authentifizierung nicht erfolgreich. Der Standardwert beträgt 60,000 Millisekunden (6 Sekunden).
    • Bescheinigung: Dies ist ein Schlüsselpaar, das zum Gerät gehört und während der Herstellung zugewiesen wird. Es ist spezifisch für das Gerätemodell und wird verwendet, wenn das Gerät registriert ist, um das spezifische Modell zu beweisen.
      • Kein Wert: Gibt an, dass die verantwortliche Partei nicht an der Authentifizierungsbestätigung interessiert ist.
      • Indirekt: Gibt an, dass die verantwortliche Partei anonymisierte Bestätigungsdaten zulässt.
      • Direkt: Gibt an, dass die verantwortliche Partei die Bestätigungsdaten vom Authentifizierer erhalten möchte.
    • Authentikatorauswahl - Anhang: Steuert den Authentifizierungstyp, bei dem sich ein Benutzer registriert.
      • Plattform: Wählen Sie diese Option aus, um Windows Hello und Mac Touch ID zu verwenden.
      • Plattformübergreifend: Wählen Sie diese Option aus, um einen plattformübergreifenden Authentikator wie YubiKey zu verwenden.
      • Beide: Dieser Wert ist der Standardwert.
    • Authentikatorauswahl: Wählen Sie aus, ob die Unterstützung für einen Resident Key aktiviert ist und wie.
      • Kein Wert: (Standard) gibt an, dass der Private Key verschlüsselt und auf dem Server gespeichert ist.
      • Erforderlich: Gibt an, dass die Relying Party Client-seitig erkennbare Zugangsdaten erfordert und bereit ist, einen Fehler zu erhalten, wenn keine clientseitigen erkennbaren Zugangsdaten erstellt werden können.
      • Bevorzugt: Gibt an, dass die vertrauende Partei das Erstellen von clientseitigen erkennbaren Zugangsdaten bevorzugt, serverseitige Zugangsdaten jedoch akzeptiert werden.
      • Warnung: Gibt an, dass die vertrauende Partei das Erstellen von serverseitigen Zugangsdaten bevorzugt, clientseitige erkennbare Zugangsdaten jedoch akzeptiert werden.
    • Verifizierung des Authentikatorauswahlbenutzers: Die Anforderungen der verantwortlichen Partei an die Benutzerverifizierung während der Registrierung.
      • Erforderlich: Gibt an, dass die Relying Party eine Benutzerprüfung für den Vorgang erfordert oder der Vorgang nicht erfolgreich verläuft.
      • Bevorzugt: (Standard) Gibt an, dass die verlassende Partei die Benutzerüberprüfung für den Vorgang bevorzugt, wenn möglich.
      • Warnung: Gibt an, dass die Relying Party nicht möchte, dass die Benutzerverifizierung während des Vorgangs verwendet wird.
    • Public-Schlüsseltypen: Der kryptografische Algorithmus, mit dem ein Public-Key-Paar während der Registrierung generiert wird. IAM zertifiziert nur ES256 (Standard), RS1 und RS256.
    • Zugangsdaten ausschließen: (standardmäßig deaktiviert). Wird verwendet, um das Erstellen mehrerer Zugangsdaten für denselben Account mit einem Authentikator zu begrenzen.
  7. Wählen Sie Speichern aus.
  8. Bestätigen Sie die Änderungen, wenn Sie aufgefordert werden.
Die FIDO-Authentifizierung ist jetzt ein zusätzlicher Anmeldefaktor.