fbpx

淺談 Citrix 與 FIDO2 認證

最近專案遇到合作夥伴諮詢 FIDO2 認證問題,目前 ADC 產品正在開發中對該功能對接,Citrix Cloud 端包括Citrix Virtual Apps & Desktops 已經支援與 FIDO2 的對接。接下來淺談下 FIDO2 認證到底是什麼?

企業面臨的問題
在當今的企業中,每位 IT 管理員每天都在考慮其組織的安全狀況。這就是讓他們夜不能寐的原因。他們正嘗試在允許無縫訪問和確保沒有為攻擊者敞開大門之間取得適當的許可權直接進行平衡。雖然資料集中化並將其從端點移除是支持有效安全性原則的一種工具,但仍有一個明顯的弱點,即使是端到端的安全解決方案也可能存在洩漏風險:密碼。
這裡我們就不展開說明為什麼密碼不像大多數人認為的那樣安全。相反,業內推出一項新功能,可為需要訪問虛擬應用程式和桌面的使用者提供無密碼體驗。大家可以看下Demo:

什麼是 FIDO2?

FIDO2 是 FIDO 聯盟 (Fast Identity Online) 的最新規範,旨在開發一套開放且免許可的標準,用於在網路上進行安全的全球身份驗證。

FIDO2 由用戶端到身份驗證器協定 (CTAP) 和 W3C 標準 WebAuthn 組成。它們一起啟用身份驗證,其中用戶使用加密身份驗證器(如生物識別或 PIN)或外部身份驗證器(如 FIDO 金鑰可穿戴設備移動設備)到受信任的 WebAuthn 遠端對等點(也稱為 FIDO2 伺服器)進行身份驗證,該對等點通常屬於 到網站或網路應用程式。

FIDO2 本質上是無密碼身份驗證,是業界對全球密碼問題的解決方案,解決了傳統身份驗證的所有問題。

FIDO 的工作原理
FIDO 協定使用標準公開金鑰密碼學技術提供更強有力的身份認證方式。向線上服務註冊期間,使用者的用戶端設備會創建一個新的金鑰對。該設備保留私密金鑰,並向線上服務註冊公開金鑰。用戶端通過對挑戰值簽名的方式向該服務證明私密金鑰的擁有權,以此完成身份認證。用戶私密金鑰僅在完成本地解鎖後才可以使用。用戶通過友好、安全的操作解鎖本地金鑰,例如驗證指紋、輸入 PIN、通過話筒語音操作、插入第二因數設備或按下某個按鈕。

FIDO 協議始終是圍繞保護使用者的隱私來設計的。這些協議不會向線上服務提供者提供可用於跟蹤使用者的資訊。如果採用生物特徵識別技術,使用者生物特徵絕不離開使用者設備

註冊

  • 系統提示使用者選擇符合線上服務策略的可用的FIDO 認證器。
  • 使用者使用指紋感測器、第二因數設備上的按鈕、安全輸入的 PIN 或其他方法解鎖 FIDO 認證器。
  • 使用者設備創建一對針對本地設備、線上服務和使用者帳戶的獨有的全新公/私密金鑰對。
  • 系統將公開金鑰發送給線上服務,並將其與用戶的帳戶關聯。私密金鑰和本地身份認證方法相關資訊(例如生物識別測量或範本)絕不會離開本地設備。

登錄

  • 線上服務要求使用者使用之前註冊過的並與服務策略相符的設備登入。
  • 用戶使用與註冊時相同的方法解鎖 FIDO 認證器。
  • 設備使用由伺服器提供的使用者的帳戶標識來選擇正確的金鑰並簽名伺服器發出的挑戰。
  • 用戶端設備將經過簽名的挑戰發送回伺服器,由其使用存儲的公開金鑰進行驗證,然後即可允許用戶登錄。

如何集成?

我們正在利用 Microsoft Azure Active Directory 及其與 Citrix Workspace 的集成。我們還使用適用於雲的 Citrix FAS 來聯合身份驗證以啟動虛擬桌面。這還包括在虛擬會話中使用 FIDO2 進行身份驗證的能力。您只需註冊 Citrix Cloud 即可開始使用。如果本地客戶滿足該功能的最低要求,也可以在虛擬會話中使用 FIDO2 進行一次身份驗證。但是,如果沒有 Citrix Cloud 元件,您將無法訪問完整的端到端解決方案。參考連結

https://docs.citrix.com/en-us/citrix-virtual-apps-desktops/secure/fido2.html

發表迴響

Powered by WordPress.com.

Up ↑

%d 位部落客按了讚: