8.6. W3C Web 身份验证(WebAuthn)
红帽单点登录为 W3C Web 身份验证(WebAuthn) 提供有限的支持。Red Hat Single Sign-On 作为 WebAuthn 的 Rely ing party (RP) 工作。
WebAuthn 是技术预览,不被完全支持。此功能默认为禁用。
要使用 -Dkeycloak.profile=preview 或 -Dkeycloak.profile.feature.web_authn=enabled 来启用服务器。如需了解更多详细信息,请参阅 配置文件。
WebAuthn 的运营成功取决于用户的 WebAuthn 支持验证器、浏览器和平台。确保您的验证器、浏览器和平台支持 WebAuthn 规格。
8.6.1. 设置
对 2FA 支持的 WebAuthn 支持的设置过程如下:
8.6.1.1. 启用 WebAuthn authenticator 注册
- 在菜单中,单击 Authentication。
- 点 所需的 Actions 选项卡。
- 点 Register。
- 单击 Required Action 下拉列表。
- 点 Webauthn Register。
- 点 确定。
如果您希望所有新用户注册其 WebAuthn 凭据,请标记 Default Action 复选框。
8.6.1.2. 将 WebAuthn 身份验证添加到浏览器流
- 在菜单中,单击 Authentication。
- 单击 浏览器 流。
- 单击 Copy,以制作内置 浏览器 流的副本。
- 输入副本的名称。
- 点 确定。
- 点 WebAuthn 浏览器浏览器的 Actions 链接 - Conditional OTP 并点 Delete。
- 点 Delete。
如果您需要所有用户的 WebAuthn:
- 单击 WebAuthn Browser Forms 的 Actions 链接。
- 单击 Add execution。
- 点 Provider 下拉列表。
- 单击 WebAuthn Authenticator。
- 点 Save。
为 WebAuthn Authenticator点 REQUIRED
- 单击 Bindings 选项卡。
- 点击 Browser Flow 下拉列表。
- 单击 WebAuthn Browser。
- 点 Save。
如果用户没有 WebAuthn 凭据,用户必须注册 WebAuthn 凭据。
如果用户仅注册了 WebAuthn,则用户可以通过 WebAuthn 进行登录。因此 ,您可以 :
流程
- 单击 WebAuthn Browser Forms 的 Actions 链接。
- 点 Add flow。
- 在 Alias 字段中输入 "Conditional 2FA"。
- 点 Save。
- 为 条件 2FA点 CONDITIONAL
- 点 Conditional 2FA 的 Actions 链接。
- 单击 Add execution。
- 点 Provider 下拉列表。
- 点 Condition - User Configured。
- 点 Save。
- 为 Conditional 2FA点 REQUIRED
- 点 Conditional 2FA 的 Actions 链接。
- 单击 Add execution。
- 点 Provider 下拉列表。
- 单击 WebAuthn Authenticator。
- 点 Save。
为 条件 2FA 点 ALTERNATIVE
用户可以选择使用 WebAuthn 和 OTP 作为第二个因素:
流程
- 点 Conditional 2FA 的 Actions 链接。
- 单击 Add execution。
- 点 Provider 下拉列表。
- 点 ITP Form。
- 点 Save。
为 条件 2FA 点 ALTERNATIVE
