ldap/openid 连接到 FIDO2?
ldap/openid connect with FIDO2?
我想用多种服务设计我的私有云,让我的生活更轻松。为了更好的可用性,我希望能够使用相同的凭据登录。为此,我查看了 ldap 和 openID,尤其是 openldap 和 freeipa。但是随着 FIDO2 的出现并使登录变得更容易和更安全,我想知道是否有一种方法可以将 FIDO2 与 ldap 或 openID 结合使用,这样用户就可以使用他们的 FIDO2 令牌登录,同时对所有服务使用相同的凭据。
所以在联合身份验证中有三个参与方。联合客户端(有关猫的网站)、联合提供者(您的大型身份提供者)和身份验证服务(进行身份验证的东西)。
在 OIDC 方面,OIDC 服务器将通过质询重定向到身份验证服务。然后,授权服务将通过 private(admin) api 从 OIDC 服务获取请求信息,然后它将执行所有必要的检查、验证用户,然后询问用户是否允许 KittyCats.xyz 使用用户帐户进行身份验证。如果用户同意,则 Auth Server 将通知 OIDC 服务器 hat 用户已同意,作为响应,OIDC 服务器将 return redirect_url。然后 AuthServer 会将用户重定向到指定的重定向 URL.
因此,就 FIDO 而言,这非常简单。您创建一个基本的 FIDO 身份验证服务,然后在其之上添加 OIDC 逻辑,瞧,您拥有 FIDO 支持的 OIDC 联合身份验证。
如果你想玩,我强烈建议你玩 ORY/HYDRA。他们有一个带有迷你授权服务的完整演示和一个精彩的入门教程:https://www.ory.sh/hydra/docs/5min-tutorial
我想用多种服务设计我的私有云,让我的生活更轻松。为了更好的可用性,我希望能够使用相同的凭据登录。为此,我查看了 ldap 和 openID,尤其是 openldap 和 freeipa。但是随着 FIDO2 的出现并使登录变得更容易和更安全,我想知道是否有一种方法可以将 FIDO2 与 ldap 或 openID 结合使用,这样用户就可以使用他们的 FIDO2 令牌登录,同时对所有服务使用相同的凭据。
所以在联合身份验证中有三个参与方。联合客户端(有关猫的网站)、联合提供者(您的大型身份提供者)和身份验证服务(进行身份验证的东西)。
在 OIDC 方面,OIDC 服务器将通过质询重定向到身份验证服务。然后,授权服务将通过 private(admin) api 从 OIDC 服务获取请求信息,然后它将执行所有必要的检查、验证用户,然后询问用户是否允许 KittyCats.xyz 使用用户帐户进行身份验证。如果用户同意,则 Auth Server 将通知 OIDC 服务器 hat 用户已同意,作为响应,OIDC 服务器将 return redirect_url。然后 AuthServer 会将用户重定向到指定的重定向 URL.
因此,就 FIDO 而言,这非常简单。您创建一个基本的 FIDO 身份验证服务,然后在其之上添加 OIDC 逻辑,瞧,您拥有 FIDO 支持的 OIDC 联合身份验证。
如果你想玩,我强烈建议你玩 ORY/HYDRA。他们有一个带有迷你授权服务的完整演示和一个精彩的入门教程:https://www.ory.sh/hydra/docs/5min-tutorial