開發人員接入授權中心 中央授權中心OIDC文檔

多因子驗證 - 流程圖說明

 

中央授權中心的工作就是:

驗證用戶身份發放身份憑證

以下圍繞這兩大功能,以流程圖(時序圖、泳道圖)的形式進行簡單的展示與說明。

此頁配合集團PPT模板以藍色背景展示,流程圖以白色為主色調顯示,方便大家在PPT中引用。歡迎各位下載使用。

流程圖中涉及一些OIDC(OpenID Connect)術語,如:客戶端、資源、授權端點等。出現較多的“授權端點授權端點(Authorization Endpoint)”是用戶進行身份驗證和授權的地方。它是OAuth 2.0的一部分,并被OIDC用于身份驗證。


發放身份憑證之授權碼模式(Authorization Code)

 

發放身份憑證(Token)最常用也是最安全的方式就是授權碼模式(Authorization Code)。即:先傳給Code,集團系統再用Code換取Token。

有用戶信息的憑證(Token)發放中央授權中心只開放授權碼模式(Authorization Code)。具體參考《中央授權中心OIDC支持》

發放憑證(Token)是一個“授權”過程,而通過Token請求UserInfo接口, 則為“(聯合)身份認證”過程。 【展開說明】

中央授權中心(集團員工)雙因子驗證服務流程

 
?
通常情況下第一因子驗證提供相信掃碼及相信動態碼(即:口令牌)等方式供用戶選擇。
但不限于此兩種方式,且對應系統有十分特殊要求,中央授權中心還提供自定義驗證方式的參數設定。
?
根據“零”信任的多源驗證規則。
中央授權中心推薦使用 TOTP 或 FIDO2 作為第二驗證因子, 手機短信及郵箱驗證作為輔助選項。

注意:
1)TOTP 或 FIDO2 具有安全、快捷且低成本等特點。
2)手機短信涉及運營商傳輸費用,SIM 卡劫持等安全問題。
3)郵箱驗證依賴郵件伺服器狀態與網路傳輸延遲。
?
默認“員工張三”無感地進入了系統B。
開發人員可通過設定參數prompt=login,來顯示用戶登錄提示。

中央授權中心直接完成雙因子驗證,由用戶選擇兩種驗證方式依次驗證。 詳情

中央授權中心(集團員工)第一因子驗證服務流程

 
?
對于集團員工第一因子驗證,中央授權中心強烈推薦相信掃碼驗證。

但除相信掃碼認證之外,還有以下驗證方式:
1)相信動態安全碼驗證
2)相信密碼驗證(僅指定客戶端、IP可用)
3)FIDO2驗證
4)Web人臉驗證 (由相信人臉服務部門提供)
?
此流程依然有“單點登錄”效果。可以簡單理解為《中央授權中心(集團員工)雙因子驗證服務流》的降級版本。

集團內部員工的“授權中心身份驗證+系統身份驗證”,即:授權中心驗證員工身份,跳轉至集團系統之后,系統再次驗證用戶的身份。 此方式中央授權中心支持目前所有的驗證方式。 詳情

中央授權中心(集團員工)第二因子驗證服務流程

 
?
指定張三的“相信APP”賬號,一般是工號。海外獨立存放的賬號需要加上“域”。
如印度員工工員為 CS888,則他的相信賬號為:CS888@IN-FOXCONN。
?
中央授權中心對第三方系統提示的第二因子驗證服務,默認推薦為:相信掃一掃驗證

除此還包括以下驗證方式:
- 相信動態安全碼驗證
- FIDO2設備驗證
- TOTP驗證碼驗證
- 手機短信驗證(不推薦,涉及運營商傳輸費用,SIM 卡劫持等安全問題)
- 郵箱驗證碼驗證(不推薦,依賴郵件伺服器狀態與網路傳輸延遲)
?
此流程不支持單點登錄功能。
若要實現“單點登錄”功能,可以使用上一個流程《(集團員工)第一因子驗證服務流程》,中央授權中心本質上并沒有管控驗證因子的順序。
第一因子驗證服務時,也是可以指定用戶相信賬號的。

集團內部員工的“系統身份驗證+授權中心多因子驗證”,是指集團系統先驗證用戶的身份之后,再提供用戶的工號讓中央授權中心再重新驗證其身份。 這是在不改變集團系統現有的登入流程,只是在完成第一步登入流程之后加上一步授權中心多因子驗證,以加強系統的安全性。 詳情

集團外部用戶雙因子驗證流程

 
?
目前集團外部用戶提供TOTP驗證功能。
原則上不提供手機短信、郵件驗證碼驗證方式。雖然中央授權中心保留集團系統提供用戶手機號、郵箱地址由中央授權中心代為驗證的功能,但需考慮後續費用分攤(如短信發送成本)。
?
此處為基本流程。使用小程序“相信TOTP”時,有個極簡掃碼流程,僅需用戶掃碼確認即可。

對于集團外部用戶(如:供應商),中央授權中心采用“系統身份驗證+授權中心TOTP驗證”模式,即:集團系統先驗證集團外部用戶的身份, 再請求中央授權中心進行TOTP驗證碼驗證。 詳情

TOTP發放流程

 

TOTP(Time-Based One-Time Password)是一個基于時間的一次性密碼算法。相比與短信、電話以及FIDO2設備驗證,TOTP有著成本低且安全的特點。

在TOTP工具方面,可以分為“通用TOTP工具”與“專屬TOTP工具”兩大類。通用TOTP工具遵循TOTP的開放標準(RFC 6238),允許用戶在一個應用中生成多個服務的一次性密碼。 而專屬TOTP工具在基于TOTP的基礎上增加了其他功能或安全措施,使其更適合于某個特定的環境或業務需求。

中央授權中心二次驗證的TOTP功能,采用“專屬TOTP工具”為主,“通用TOTP工具(如:Google驗證器、微軟驗證器)”為輔的方式。此工具區分于“相信動態安全碼”,雖然兩者原理一致也都遵循TOTP的開放標準(RFC 6238),但兩者是兩套相互獨立的系統, 即:“相信動態安全碼”與“小程序:相信TOTP”是原理相同的兩套獨立系統,且“小程序:相信TOTP”也是獨立于相信賬號體系之外的身份驗證工具。

點擊查看TOTP驗證操作說明










Authenticator For SSO.FOXCONN.COM

What if WeChat cannot be used in my local area (for regions outside of China)?

Copyright © 2025 鴻海精密工業股份有限公司 粵 ICP 備 13021698 號
意見反饋/咨詢