2

ログイン後にシステムを管理するために、ロードバランサーへの管理インターフェースに FIDO U2F (YubiKey を使用) を実装したい状況があります - U2F を追加の認証レイヤーとして使用する必要があります。

システムの寿命を通じて、アクセスに使用される IP アドレスとホスト名が変更されるのはよくあることです (たとえば、一度https://192.168.0.20/になったら、その後はhttps://lb-admin.company.com/になります)。 、それからそれは何か他のものなど)。

問題は、キーが appId (サイトの URL) に対して登録され、appId が keyHandle でエンコードされることです。キーを登録するときに、複数の appId を許可したり、appId の制限を削除したりする方法はありますか?

つまり、1 つの YubiKey を登録し、それを Web サイトの任意のエントリ ポイントから使用したり、キーが最初に登録された IP アドレスまたはドメインとは異なる IP アドレスまたはドメインを使用して Web サイトにアクセスしたとしても、それを使用しますか?

4

1 に答える 1

2

はい、登録済みの U2F キーを複数のサブドメインを使用して異なるホスト名で動作させることができます。(IP は使用しないでください)

そのためには、AppId 参照が、TrustedFacetList として処理されるオンライン json ファイルを指している必要があります。

実際の例... これを実装する公式の GitHub AppID は次のとおりです: https://github.com/u2f/trusted_facets

詳細とルールはすべて、FIDO AppID とファセット仕様 (FacetID) https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-appid-and-facets-ps-20141009 で説明されています。 html

于 2016-06-24T15:09:42.563 に答える