問題タブ [two-factor-authentication]

私のアプリケーションでは、ユーザー名/パスワードの後に​​ SMS または電子メールでユーザーに送信されたコードによる 2 要素認証を使用しています。ユーザーを記憶するために Cookie を使用してきましたが、OWIN の助けを借りて、代わりに OAuth でベアラー トークンを使用したいと考えています。

OAuth は 2 要素認証を何とか解決しますか? そうでない場合、次のことを行うのは悪い考えでしょうか。

• クライアントはユーザー資格情報を/api/authentication(ApiController) に送信 (ポスト) します。
  • 資格情報が間違っている場合、サーバーは次のように応答します400 Bad Request
  • 資格情報が正しい場合、サーバーはコードを生成し、SMS でユーザーに送信します。次に、クライアントに401 Unauthorizewithで応答しますWWW-Authenticate: ???
• クライアントはコードを/token(OAuth) に送信しますgrant_type=password&username={code}

を実装して ADFS 3.0 用のカスタム MFA プロバイダーをセットアップしてIAuthenticationAdapterいます。認証プロセスに別のステップを追加したいと考えています。たとえば、電子メール ベースの OTP を使用して、ユーザーはコードの前に電子メール アドレスを確認するように最初に求められます。が送信された後、ユーザーは OTP を入力するように求められるか、SMS OTP を送信する前にモバイルの数字を確認するように求められる可能性がありますが、認証パイプラインのワークフローは非常に厳格に見えBeginAuthenticationます。ステップはもっと複雑なようです。OnErrorTryEndAuthentication

これまでのところ、2 つの可能な解決策がいくつかあります。コメントや好み、またはできればこれを行うためのより良い方法を誰かに聞いてみたいと思います。

1. 複数回呼び出しTryEndAuthenticationて、異なるコンテキストを渡して、プロセスのどの段階をIAdaperPresentation.

2. jQuery およびその他のカスタム スクリプトをテキスト リソースとしてカスタム プロバイダー アセンブリに追加し、それらをIAdapterPresentationForm.GetFormHtmlメソッドに挿入してフォームを動的にし、別の MVC / Web API サービスへのインライン AJAX 呼び出しを実行し、電子メールの検証を行います。ユーザーに認証フォームを表示する前に、次のような結果になります...

これが私のカスタム スクリプト リソース (Provider.txt) です。

そして、これが私がしたことですGetFormHtml：

最初の方法はまだ試していません。また、ADFS 認証パイプラインでこの種のワークフローが許可されるかどうかもわかりません。

私は 2 番目の方法を試してみましたが、驚くほどうまくいきました。

これを行うためにきれいに実装できる単純な設定またはインターフェイスが欠けているのでしょうか、それともこれが唯一の方法ですか?

2 要素認証を使用するように CAS インスタンスを変更するように依頼されました

私たちにとって、ユーザーにメールや SMS を送信するのは簡単です。したがって、カスタム OTP は歓迎されます。

CAS の 2 番目のインスタンスには関心がありません。

また、次の動作が必要です。

• ユーザーは、企業ネットワークを使用して個人証明書またはパスワードで認証できます
• インターネットからのユーザーは、個人証明書またはパスワードと OTP を介して認証できます

現在、インターネットからのユーザーは、個人証明書を介してのみ認証できます。パスワードは企業ネットワーク ユーザー専用です。したがって、この新機能は、インターネット ユーザーにとって OTP の 2 番目の要素となります。

CASはそれを行うことができますか？

2 要素認証を処理する準備ができているのは、どの CAS バージョンですか?

Google を認証プロバイダーとして使用するアプリケーションを開発したいのですが、アカウントがアプリに登録される前に、Google アカウントが 2 段階認証プロセスを使用しているかどうかをアプリに認識させたいと考えています。

Google 開発ドキュメントで必要な API が見つかりません。