使用 OIDC 身份代理的 Keycloak 2 因素身份验证

【问题标题】:Keycloak 2-factor authentification with OIDC Identity Brokering使用 OIDC 身份代理的 Keycloak 2 因素身份验证
【发布时间】:2021-09-08 23:18:36
【问题描述】:

是否可以使用 OIDC 身份代理进行 2 因素身份验证

我正在尝试使用 TOTP 设置 2 因素身份验证,它适用于密码身份验证方法,但不适用于 OIDC 身份代理。

1-带密码的方法:

  • 登录名+密码
  • 一次性密码
  • 登录成功

2- 使用 OIDC 身份代理:

  • 选择 oidc 提供者
  • 选择帐号
  • 登录成功

是否可以在 oidc 方法中添加阶段otp password? 有人知道这个问题吗?

【问题讨论】:

  • TOTP(基于时间的一次性密码)在 Keycloak 中非常适用于任何 SSO 协议:OIDC、SAML。请更具体地说明什么不起作用。 FreeOTP 只是一个应用程序,但可以使用任何标准的 OTP 应用程序;其中一些:Google Authenticator、Microsoft Authenticator、Authy、LastPass、Duo Mobile、Yubico Authenticator、...
  • 你好,我使用SSO协议登录时,没有询问OTP密码,但是通过密码认证,它询问的是OTP密码。

标签: authentication keycloak openid-connect one-time-password keycloak-connect


【解决方案1】:

这不是 OIDC 协议的问题(实际上,我猜你在这两种情况下都使用 OIDC),而是使用了身份验证流程。确保您已正确配置满足您需求的First Broker Login 流。例如:

来源:https://github.com/keycloak/keycloak-community/blob/master/design/multi-factor-admin-and-step-up.md

但我会说,当 Keycloak 只是中间层(身份代理)时,在此设置中要求 Keycloak 中的 TOTP 不是一个聪明的主意。正确的配置是在使用的 OIDC 提供商上配置 (T)OTP(这是另一个 IDP,仅由您的 Keycloak 使用)。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2011-03-19
    • 2011-05-02
    • 1970-01-01
    • 2021-10-03
    • 2021-06-20
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode