發放身份憑證(Token)最常用也是最安全的方式就是授權碼模式(Authorization Code)。即:先傳給Code,集團系統再用Code換取Token。
有用戶信息的憑證(Token)發放中央授權中心只開放授權碼模式(Authorization Code)。具體參考《中央授權中心OIDC支持》
TOTP(Time-Based One-Time Password)是一個基于時間的一次性密碼算法。相比與短信、電話以及FIDO2設備驗證,TOTP有著成本低且安全的特點。
在TOTP工具方面,可以分為“通用TOTP工具”與“專屬TOTP工具”兩大類。通用TOTP工具遵循TOTP的開放標準(RFC 6238),允許用戶在一個應用中生成多個服務的一次性密碼。 而專屬TOTP工具在基于TOTP的基礎上增加了其他功能或安全措施,使其更適合于某個特定的環境或業務需求。
中央授權中心二次驗證的TOTP功能,采用“專屬TOTP工具”為主,“通用TOTP工具(如:Google驗證器、微軟驗證器)”為輔的方式。此工具區分于“相信動態安全碼”,雖然兩者原理一致也都遵循TOTP的開放標準(RFC 6238),但兩者是兩套相互獨立的系統, 即:“相信動態安全碼”與“小程序:相信TOTP”是原理相同的兩套獨立系統,且“小程序:相信TOTP”也是獨立于相信賬號體系之外的身份驗證工具。
點擊查看TOTP驗證操作說明
中央授權中心直接完成雙因子驗證,由用戶選擇兩種驗證方式依次驗證。 詳情
集團內部員工的“授權中心身份驗證+系統身份驗證”,即:授權中心驗證員工身份,跳轉至集團系統之后,系統再次驗證用戶的身份。 此方式中央授權中心支持目前所有的驗證方式。 詳情
集團內部員工的“系統身份驗證+授權中心多因子驗證”,是指集團系統先驗證用戶的身份之后,再提供用戶的工號讓中央授權中心再重新驗證其身份。 這是在不改變集團系統現有的登入流程,只是在完成第一步登入流程之后加上一步授權中心多因子驗證,以加強系統的安全性。 詳情
對于集團外部用戶(如:供應商),中央授權中心采用“系統身份驗證+授權中心TOTP驗證”模式,即:集團系統先驗證集團外部用戶的身份, 再請求中央授權中心進行TOTP驗證碼驗證。 詳情
