红帽全球峰会8.8. Passkeys
Red Hat build of Keycloak 为 Passkeys 提供预览支持。Red Hat build of Keycloak 充当 Passkeys Relying Party (RP)。
Passkey 注册和身份验证是通过 WebAuthn 的功能实现的。因此,红帽构建的 Keycloak 用户可以通过现有 WebAuthn 注册和身份验证进行 Passkey 注册和身份验证。
同步 Passkeys 和设备密集型 Passkeys 可用于 Same-Device 和跨设备身份验证(CDA)。但是,Passkeys 操作成功取决于用户的环境。确保在 环境 中 可以成功执行哪些操作。
8.8.1. 使用条件 UI 的 Passkey 身份验证
带有条件 UI 的 Passkey 身份验证可以通过其 passkey 验证用户身份,其方式与 LoginLess WebAuthn 相同。此身份验证显示用户在运行浏览器的设备上存储的 passkeys 列表。因此,用户可以在列表中选择一个 passkeys 进行验证。与 LoginLess WebAuthn 相比,身份验证可以提高用户的身份验证体验。
此身份验证使用 WebAuthn Conditional UI。因此,这个身份验证成功取决于用户的环境。如果环境不支持 WebAuthn Conditional UI,则此身份验证会返回 LoginLess WebAuthn。
Passkey 身份验证 是技术预览,且不被支持。此功能默认为禁用。
使用-- features=preview or-- features=passkeys启用服务器
8.8.1.1. 设置
流程
使用条件 UI 设置 Passkey 身份验证,如下所示:
-
(如果还没有)注册 WebAuthn 免密码支持新的所需操作。使用 Enable WebAuthn Authenticator 注册 中所述的步骤。注册
Webauthn Register Passwordless操作。 配置
WebAuthn 无密码策略。在 Admin Console,Authentication部分中执行配置,在PoliciesWebAuthn Passwordless Policy中。当您为无登录情况配置策略时,将 User Verification Requirement 设置为 required,并将 Requireable credential 设置为 Yes。请注意,由于没有专用的登录策略,因此无法使用 user verification=no/discoverable credential=no 和 loginless 场景(用户验证=yes/可发现的 credential=yes)来混合使用身份验证场景。注意存储容量通常限制在硬件 passkeys 上,这意味着您无法在您的 passkey 上存储多个可发现的凭证。但是,如果您使用 Google 帐户支持的 Android 电话或由 Bitwarden 支持的 iPhone,则可以缓解这个限制。
配置身份验证流。创建一个新的身份验证流,添加 Passkeys Conditional UI Authenticator 执行,并将执行的 Requirement 设置设置为 Required。
流的最终配置类似如下:
- 将上述流绑定为域中 浏览器 身份验证流,如上面的 WebAuthn 部分所述。
上面的身份验证流程要求用户必须已经在自己的帐户或她的帐户上具有 passkey 凭证才能登录。此要求意味着域中的所有用户都必须已经设置 passkeys。这可以通过启用用户注册来实现实例,如下所述。
8.8.1.2. 为 passkeys 条件 UI 设置注册
注册流设置的替代方法是,将所需的操作 WebAuthn Register Passwordless 添加到已 Red Hat build of Keycloak 的用户。配置所需操作的用户将必须进行身份验证(例如,用户名/密码),然后提示您注册用于无登录身份验证的 passkey。
我们计划提高可用性,并允许将条件 passkeys 与现有验证器和表单(如默认用户名 / 密码表单)集成。
从 Web Authn Level 3 中,Resident Key 被 Discoverable Credential 替换。
如果用户的浏览器支持 WebAuthn Conditional UI,则会显示以下屏幕:
使用条件 UI 的 Passkey 身份验证
当用户单击 Select your passkey 文本框时,存储在用户运行浏览的设备上的 passkeys 列表如下所示:
使用条件 UI 自动填充的 Passkey 身份验证
如果用户的浏览器不支持 WebAuthn Conditional UI,则身份验证将返回到 LoginLess WebAuthn,如下所示:
带有条件 UI 的 Passkey 身份验证回退到 LoginLess WebAuthn
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}