身份认证流程
1 介绍
飞网IAM支持多种身份认证方式,并且允许用户自定义将这些方式组合使用。飞网IAM还提供了一个即使用户已经成功登录业务系统,但业务系统仍然可以与飞网IAM再次交互的通道。利用这个通道,我们实现了会话的上下文管理ACR(Authentication Context Class Reference)功能,即业务系统可以利用这个通道通知飞网IAM及时提高用户会话的认证安全等级(LOA),迫使用户进行多因素身份认证。简单来说,用户在执行某些敏感操作(如转账)时,如果用户的会话安全等级(单因素认证)低于该操作要求的会话安全等级(双因素认证),业务系统就会通过这个通道通知飞网IAM该操作需要提高用户会话安全等级(双因素认证)才能执行,此时飞网IAM就会按照业务系统的要求让用户补充身份认证(如认证短信、邮箱等),只有认证通过后,才能执行敏感操作。
(待定留作备份)我们可以通过该功能实现用户的多因素身份认证,比如我们可以设定用户登录时需要先输入密码,再验证手机,只有两种方式均验证通过后才可以登录成功。同时我们使用了ACR(Authentication Context Class Reference,身份认证上下文类参考)的关键技术确保您安全地访问敏感信息,简单来说,在访问敏感信息之前,只有成功通过了指定的身份认证流程,才能继续访问敏感信息。
身份认证流程中还可以为认证流程指定用户的注册流程,将注册流程与认证流程绑定。即当业务系统使用身份认证流程时,飞网IAM登录页面中的注册将使用该身份认证流程绑定的注册流程。
2 使用场景
1、假设一公司的某个业务系统要求登录时必须使用多因素认证(密码-短信),这时就可以创建一个名为"pwd-sms"的身份认证流程,然后在业务系统中,配置它的登录流程为我们创建的"pwd-sms",这时该业务系统登录时就必须经过密码和短信的双重认证,只有当认证都通过时才能成功登录业务系统。
2、假设一公司的业务系统内的删除操作属于敏感操作,用户不能点击删除直接删除,需要再次进行短信的二次认证才可以删除时,就可以使用该功能,首先创建一个短信认证的流程,然后当点击删除时,调用该流程,这样当点击删除时就会跳转至短信认证的页面,只有当该流程认证通过后用户才能成功执行删除操作。
3 添加身份认证流程
1、通过点击右上角"添加身份认证流程"按钮,进行添加操作。
2、当点击"添加身份认证流程"按钮后,会弹出创建窗口。 按照页面要求填写名称(必填,英文不能包含'+' 待确定)、描述(必填)、认证方法后,点击"添加"按钮,即可创建身份认证流程。 3、创建过程中选择的认证方法顺序将决定用户认证的操作顺序。 例如:下图中,表示用户要先输入密码然后再验证短信验证码。如果将二者位置调换,那用户操作顺序就变成了先验证短信验证码,再输入密码。 4、认证方法包括:控制台:输入用户名后发送验证码,使用验证码认证登录。用于管理员测试使用,发送的验证码将在项目后端打印。
邮箱:输入邮箱地址,向邮箱地址发送验证码,使用该验证码认证登录。
一次一密:输入用户名后,然后输入身份验证器 App中的验证码认证登录。
密码:输入用户名后,输入密码进行认证登录。
短信:输入手机号后,将向手机发送验证码,然后使用该验证码进行认证登录。
Web认证:输入用户名,点击认证后,使用用户自己的设备(如手机、USB 密钥或生物识别器)来进行身份认证。
4 添加注册流程
1、确定我们要添加注册流程的身份认证流程,然后点击该身份认证流程"注册流程"列中的下拉箭头,选择注册流程即可(只能选择一个)。
2、点击"注册流程"列中的下拉箭头后这里会列出在注册流程中创建的所有注册流程的名称。
5 删除身份认证流程
如果想要删除已经创建好的身份认证流程,我们可以在身份认证流程页面中,勾选我们想要删除的身份认证流程(支持多选),然后点击右侧的蓝色按钮,然后点击"删除"字样,即可删除勾选的身份认证流程。