向您的网域的Google Apps添加WiKID双重身份验证

将WiKID双因素身份验证添加到Google Apps for Your Domain

Google通过自己的身份验证器为Google Apps提供双重身份验证。 为什么要使用WiKID? 那么,对于初学者来说,由于您将大部分的安全措施外包给Google,因此您可以控制的唯一安全性就是认证。 你不想密切关注贵国的钥匙吗? 第二,你有没有试图获得Google的支持? 第三,Google是否为您提供满足合规需求所需的日志记录?

在本文档中,我们将使用其SSO / SAML协议和WiKID强身份验证服务器的开源版本为Google Apps for Your Domain添加双重身份验证。

我们假设您已启动并运行WiKID服务器,并安装了一个正在使用的企业级Google Apps帐户。 请参阅如何安装WiKID我们的网站以获取完整的文档。

配置WiKID强认证服务器

在WiKID服务器上,通过WiKIDAdmin Web界面,在配置下启用GoogleSSO协议, 启用协议

启用Google SSO协议

点击GoogleSSO

初始化Google SSO协议

点击初始化

启用了Google SSO协议

不要重新启动服务器。

WiKID双因素身份验证用户分组到域。 如果您没有这样做,请创建一个WiKID域。 域标识符是服务器的零填充IP地址。 所以,72.44.47.107成为072044047107.这里我们使用一个内部的局域网地址,这对于测试是很好的,但外部客户端将无法路由到它。

创建WiKID域

单击创建新域

创建双因素身份验证域

所需的域配置选项有:

域名 - 这是此域的描述性标签,仅在管理系统中可见。

设备域名 - 这是将出现在客户端设备的菜单选项中的域标签。 该标签应该相对较短,以便于在移动设备上观看。

注册URL - 此URL用于相互的https身份验证 ,此处不适用。

服务器代码 - 这是服务器的零填充IP地址或wikidsystems.net域中预先注册的前缀。 该值的长度必须是12位数。

最小PIN长度 - 这是此域的最小允许PIN长度。 任何将引脚设置为短于该值的尝试将在客户端设备上产生错误。

密码生存期 - 此参数指定在此域中生成的一次性密码的最大生命周期。 经过N秒后,一次性密码将自动失效。

最大错误PIN尝试 - 设备禁用之前该域中的设备尝试的错误PIN的最大数量。

最大错误密码尝试 - 在禁用用户名之前,为此域中注册的用户ID输入的错误密码的最大数量。

最大顺序离线 - 设备在被要求在线认证之前可以使用脱机质询/响应认证的最大次数。 当无线客户端超出网络覆盖范围时,此功能用于无线客户端的企业版。

需要锁定令牌 - “锁定”软件令牌是通过该PC的某些数据(例如CPU标识符或MAC地址)与特定PC绑定的PC令牌。

需要无线令牌 - 如果您只想使用无线软件令牌 ,请选中此框。

使用TACACS +仅用于TACACS +域。 不选中。

一旦完成,单击创建域。

对于这种情况下的外部服务(例如Google Apps for your Domain),可以与WiKID服务器通话,需要将其配置为WiKID强身份验证服务器上的网络客户端。 单击WiKIDAdmin的“ 网络客户端 ”选项卡。

创建一个网络客户端

单击创建新的网络客户端

给网络客户端一个名字。 将IP地址留空。 选择域名并选择GoogleSSO作为协议。

在下一页上,设置ACS URL。 这通常是http://www.google.com/a/yourdomain.com/acs。 输入为Google创建证书所需的其他信息。 WiKID服务器将创建这个授权给您,以提供给Google。

证明详情

您的网络客户端已创建。

在“网络客户端”页面的最右侧,您将看到一个链接来下载证书。 将其下载到您的本地PC。 您将把此证书上传到Google。

重要提示:现在从以下命令行重新启动WiKID服务器:

# wikidctl restart

为您的域配置Google Apps

登录您的域的Google Apps。 单击安全图标。 然后点击高级设置并设置单点登录。

点击设置单点登录(SSO):

选中该框以启用SSO。

对于登录页面URL,输入您的WiKID服务器的URL,并附加wikid / GSSO /。 一定要使用https://! 您可以将退出和密码网址保持一致。

点击链接上传验证证书,并在“创建网络客户端”步骤中上传您下载到计算机的证书。

取消选中“使用特定于域的发行者”。

输入网络掩码,如果要限制。

测试

前往Google Apps登入页面:

将创建SAML请求,您将被重定向到WiKID服务器上的WiKID登录页面。

启动您的WiKID令牌并生成一次性密码(假设您有一个注册令牌)。有关如何使您的用户进行双因素身份验证的更多信息

启动您的软件令牌

选择域。 WiKID软件令牌能够对多个企业的多个域进行身份验证。

输入您的电子邮件地址和WiKID软件令牌返回的一次性密码(它会自动粘贴到剪贴板中,因此您必须在密码框中按Ctrl-V才能执行此操作)并登录。

应该是 现在,您可以使用WiKID的双因素身份验证访问您的Google邮件。

本文档取代了以前的Google / WiKID双因素身份验证教程

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏