多因子强认证(MFA)

概述

无论是VPN还是SaaS服务,单纯的用户名/密码并不安全,我们的IDP中的OTP服务启用了二次认证,它的推出有利于避免账户信息的安全隐患,达到等保的要求。该服务的实现原理基于RFC 6238 TOTP算法,同Google Authenticator算法一样,每30秒变化一次,在使用上极大提高了用户体验,用户只需确认(摇一摇,推送通知,OTP CODE,短信等)手机App”云身份管家”就可以实现认证,免去了人工输入的步骤。

第三方业务系统开发者只需通过在业务应用中简单的调用下我们IDP系统中API接口或者SDK便可实现无缝集成,有效保障了公有云/私有云/移动/物联网等多种网络领域环境下应用认证的安全。

本SDK文档用于说明第三方应用业务系统需要集成IDP的OTP组件功能的,适用于JAVA JDK 1.7以上,适合读者为:项目管理者,开发者,QA测试人员,SDK是以JAR包方式提供。

注册成为开发者之后,登录开发者控制台即可对多因子强认证(MFA)

马上注册开发者

示例:有网络的情况下使用推送通知

otpDemo

 

示例:没有网络的情况下使用OTP CODE

otpDemo1

 

实现原理

流程图:

liucheng

 

业务系统通过集成文档,调用API,以及从OTP应用中获取的应用ID,appKey,appSecret到业务系统中进行集成.
通过修改业务系统的逻辑代码来实现(我们提供参考的代码,如基于Spring Security等) 集成将在业务系统登录成功后触发.
集成流程:
① 通过appKey,appSecret去IDP2获取access_token(这一步可以缓存access_token,有效期12小时)
② 调用API判断OTP应用是否启用(若禁用则直接跳过二次认证)
③ 调用API将应用ID,登录账号(子账号)发送给IDP2,并展示IDP2响应的页面(HTML),用户可在页面上点击”取消”时IDP2将重定向callbackURL带上取消信息,具体的行为由业务系统自己处理(最常见的就是重新回到登录页面)

④ 同时IDP2将向OTP应用中配置的callbackURL不断发送进行二次认证的状态信息(状态码); 若状态码为200表示二次认证通过,201表示二次认证失败,222表示正在等待用户进行二次认证. 更多状态码详见集成文档
⑤ 待二次确认完成后(有可能成功,有可能失败)IDP2将重定向到callbackURL并带上相关信息
⑥ 业务系统将页面定向到登录成功界面(或其他操作,由业务系统自行处理)
⑦ 向手机端发送推送消息,短信,或者等待输入OTP CODE,等待确认
⑧ 手机端确认或者输入OTP CODE

注意:

业务系统需要配置一个全局的过滤器机制来拦截在进行二次认证时,通过手动输入任何的URL都将跳转到二次认证界面

 

注册开发者

我们有强大的统一身份认证和访问管理模块来支撑您的产品线,为您提供安全、便捷、开放的开发者服务,保障您的应用系统及账户安全。
成为开发者之后即可进行以下功能集成:

  • 单点登录(SSO)
  • API令牌(STS)
  • 用户同步(UD)
  • 多因子强认证(MFA)
  • 扫码登录(QR)
  • 密码控件(SM2)
  • 云加密机(SM2)
  • 集中权限(PS)
也可以如下进行注册:

1、在 九州云腾官网 上点击“立即试用”或“注册”,如下图:

regist

2、信息填写完成后选择成为开发者。如下图:

development

注册成为开发者之后,登录开发者控制台即可对应用集成MFA操作,马上注册开发者

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注