我想用多种服务设计我的私有云,让我的生活更轻松。为了更好的可用性,我希望能够使用相同的凭据登录。为此,我查看了 ldap 和 openID,尤其是 openldap 和 freeipa。但是随着 FIDO2 的出现并使登录变得更容易和更安全,我想知道是否有一种方法可以将 FIDO2 与 ldap 或 openID 结合使用,以便用户可以使用他们的 FIDO2 令牌登录,同时对所有服务拥有相同的凭据。
问问题
164 次
1 回答
1
因此在联合身份验证中存在三方。Federated Client(关于 Cats 的网站)、Federated Provider(您的大型身份提供商)和 Authentication Service(进行身份验证的东西)。
在 OIDC 方面,OIDC Server 将重定向到带有质询的 auth 服务。然后,auth 服务将通过 private(admin) api 从 OIDC 服务获取请求信息,然后它将执行所有必要的检查,对用户进行身份验证,然后询问用户是否要允许 KittyCats.xyz 使用用户帐户进行身份验证。如果用户同意,则 Auth Server 将通知 OIDC Server 用户同意,并且作为响应,OIDC 服务器将返回 redirect_url。然后 AuthServer 会将用户重定向到指定的重定向 URL。
所以就 FIDO 而言,这很简单。您创建了一个基本的 FIDO 身份验证服务,然后在其上添加 OIDC 逻辑,瞧,您拥有 FIDO 支持的 OIDC 联合身份验证。
如果你想玩,我强烈建议你玩 ORY/HYDRA。他们有一个带有迷你身份验证服务的完整演示和一个精彩的教程来帮助你入门:https ://www.ory.sh/hydra/docs/5min-tutorial
于 2021-10-05T18:30:00.483 回答