使用SSO / SAML和WiKID强身份验证服务器的Google Apps for Your Domain的双因素身份验证
每个人都喜欢GMail 使用适用于您的域的Google Apps,您可以将GMail与您自己的域一起使用,允许组织将其电子邮件外包 - 以及必要的反垃圾邮件过滤功能。 网络邮件非常方便,但对于频繁的旅客和使用公共WiFi的用户来说,这可能是相当危险的。 从信息亭或共享计算机登录是一种确保您的用户名和密码被击键记录器窃取的方式。 虽然云服务是伟大的,但维护安全性是艰难的。
在本文档中,我们将使用其SSO / SAML协议和WiKID强身份验证服务器的开源版本为Google Apps for Your Domain添加双重身份验证。
我们假设您已启动并运行WiKID服务器,并安装了一个正在使用的企业级Google Apps帐户。 请参阅如何安装WiKID或我们的网站以获取完整的文档。
配置WiKID强认证服务器
在WiKID服务器上,通过WiKIDAdmin Web界面,在配置下启用GoogleSSO协议, 启用协议 :
点击GoogleSSO
点击初始化 。
不要重新启动服务器。
WiKID双因素身份验证用户分组到域。 如果您没有这样做,请创建一个WiKID域。 域标识符是服务器的零填充IP地址。 所以,72.44.47.107成为072044047107.这里我们使用一个内部的局域网地址,这对于测试是很好的,但外部客户端将无法路由到它。
单击创建新域
所需的域配置选项有:
域名 - 这是此域的描述性标签,仅在管理系统中可见。
设备域名 - 这是将出现在客户端设备的菜单选项中的域标签。 该标签应该相对较短,以便于在移动设备上观看。
注册URL - 此URL用于相互的https身份验证 ,此处不适用。
服务器代码 - 这是服务器的零填充IP地址或wikidsystems.net域中预先注册的前缀。 该值的长度必须是12位数。
最小PIN长度 - 这是此域的最小允许PIN长度。 任何将引脚设置为短于该值的尝试将在客户端设备上产生错误。
密码生存期 - 此参数指定在此域中生成的一次性密码的最大生命周期。 经过N秒后,一次性密码将自动失效。
最大错误PIN尝试 - 设备禁用之前该域中的设备尝试的错误PIN的最大数量。
最大错误密码尝试 - 在禁用用户名之前,为此域中注册的用户ID输入的错误密码的最大数量。
最大顺序离线 - 设备在被要求在线认证之前可以使用脱机质询/响应认证的最大次数。 当无线客户端超出网络覆盖范围时,此功能用于无线客户端的企业版。
需要锁定令牌 - “锁定”软件令牌是通过该PC的某些数据(例如CPU标识符或MAC地址)与特定PC绑定的PC令牌。
需要无线令牌 - 如果您只想使用无线软件令牌 ,请选中此框。
使用TACACS +仅用于TACACS +域。 不选中。
一旦完成,单击创建域。
对于这种情况下的外部服务(例如Google Apps for your Domain),可以与WiKID服务器通话,需要将其配置为WiKID强身份验证服务器上的网络客户端。 单击WiKIDAdmin的“ 网络客户端 ”选项卡。
单击创建新的网络客户端