#authentication #keycloak #openid-connect #one-time-password #keycloak-connect
Вопрос:
Можно ли выполнить 2-факторную аутентификацию с помощью посредничества в идентификации OIDC
Я пытаюсь использовать TOTP для настройки аутентификации с 2 факторами, она работает для метода аутентификации по паролю, но не с посредничеством в идентификации OIDC.
1 — с помощью пароля:
- логин пароль
- Пароль OTP
- успешный вход в систему
2 — с посредничеством в идентификации OIDC:
- выберите поставщика oidc
- выберите учетную запись
- успешный вход в систему
можно ли добавить этап otp password в метод oidc? Может ли кто-нибудь знать об этой проблеме?
Комментарии:
1. TOTP (Одноразовый пароль на основе времени) очень хорошо работает в замке ключей с любым протоколом единого входа: OIDC, SAML. Будьте более конкретны, что не работает, пожалуйста.
FreeOTPэто просто приложение, но можно использовать любое стандартное приложение OTP; некоторые из них: Аутентификатор Google, аутентификатор Microsoft, Authy, LastPass, Duo Mobile, аутентификатор Yubico, …2. Здравствуйте, когда я использую протокол SSO для входа в систему, он не запрашивал пароль OTP, но при аутентификации по паролю он запрашивал пароль OTP.
Ответ №1:
Это не проблема протокола OIDC (на самом деле, я думаю, вы используете OIDC в обоих случаях), но используется поток аутентификации. Убедитесь, что у вас правильно настроен First Broker Login поток, который соответствует вашим потребностям. Например: 
Источник: https://github.com/keycloak/keycloak-community/blob/master/design/multi-factor-admin-and-step-up.md
Но я бы сказал, что в этой настройке не будет разумной идеей требовать, чтобы TOTP включался в ключ, когда ключ-это только средний уровень (Посредничество в идентификации). Правильная конфигурация будет заключаться в настройке (T)OTP для используемого поставщика OIDC (это еще один IDP, который используется только вашим ключом).