向您的网域的Google Apps添加WiKID双重身份验证

将WiKID双因素身份验证添加到Google Apps for Your Domain

Google通过自己的身份验证器为Google Apps提供双重身份验证。 为什么要使用WiKID？ 那么，对于初学者来说，由于您将大部分的安全措施外包给Google，因此您可以控制的唯一安全性就是认证。 你不想密切关注贵国的钥匙吗？ 第二，你有没有试图获得Google的支持？ 第三，Google是否为您提供满足合规需求所需的日志记录？

在本文档中，我们将使用其SSO / SAML协议和WiKID强身份验证服务器的开源版本为Google Apps for Your Domain添加双重身份验证。

我们假设您已启动并运行WiKID服务器，并安装了一个正在使用的企业级Google Apps帐户。 请参阅如何安装WiKID或我们的网站以获取完整的文档。

配置WiKID强认证服务器

在WiKID服务器上，通过WiKIDAdmin Web界面，在配置下启用GoogleSSO协议， 启用协议 ：

点击GoogleSSO

点击初始化 。

不要重新启动服务器。

WiKID双因素身份验证用户分组到域。 如果您没有这样做，请创建一个WiKID域。 域标识符是服务器的零填充IP地址。 所以，72.44.47.107成为072044047107.这里我们使用一个内部的局域网地址，这对于测试是很好的，但外部客户端将无法路由到它。

单击创建新域

所需的域配置选项有：

域名 - 这是此域的描述性标签，仅在管理系统中可见。

设备域名 - 这是将出现在客户端设备的菜单选项中的域标签。 该标签应该相对较短，以便于在移动设备上观看。

注册URL - 此URL用于相互的https身份验证 ，此处不适用。

服务器代码 - 这是服务器的零填充IP地址或wikidsystems.net域中预先注册的前缀。 该值的长度必须是12位数。

最小PIN长度 - 这是此域的最小允许PIN长度。 任何将引脚设置为短于该值的尝试将在客户端设备上产生错误。

密码生存期 - 此参数指定在此域中生成的一次性密码的最大生命周期。 经过N秒后，一次性密码将自动失效。

最大错误PIN尝试 - 设备禁用之前该域中的设备尝试的错误PIN的最大数量。

最大错误密码尝试 - 在禁用用户名之前，为此域中注册的用户ID输入的错误密码的最大数量。

最大顺序离线 - 设备在被要求在线认证之前可以使用脱机质询/响应认证的最大次数。 当无线客户端超出网络覆盖范围时，此功能用于无线客户端的企业版。

需要锁定令牌 - “锁定”软件令牌是通过该PC的某些数据（例如CPU标识符或MAC地址）与特定PC绑定的PC令牌。

需要无线令牌 - 如果您只想使用无线软件令牌 ，请选中此框。

使用TACACS +仅用于TACACS +域。 不选中。

一旦完成，单击创建域。

对于这种情况下的外部服务（例如Google Apps for your Domain），可以与WiKID服务器通话，需要将其配置为WiKID强身份验证服务器上的网络客户端。 单击WiKIDAdmin的“ 网络客户端 ”选项卡。

单击创建新的网络客户端

给网络客户端一个名字。 将IP地址留空。 选择域名并选择GoogleSSO作为协议。

在下一页上，设置ACS URL。 这通常是http://www.google.com/a/yourdomain.com/acs。 输入为Google创建证书所需的其他信息。 WiKID服务器将创建这个授权给您，以提供给Google。

您的网络客户端已创建。

在“网络客户端”页面的最右侧，您将看到一个链接来下载证书。 将其下载到您的本地PC。 您将把此证书上传到Google。

重要提示：现在从以下命令行重新启动WiKID服务器：

# wikidctl restart

为您的域配置Google Apps

登录您的域的Google Apps。 单击安全图标。 然后点击高级设置并设置单点登录。

点击设置单点登录（SSO）：

选中该框以启用SSO。

对于登录页面URL，输入您的WiKID服务器的URL，并附加wikid / GSSO /。 一定要使用https：//！ 您可以将退出和密码网址保持一致。

点击链接上传验证证书，并在“创建网络客户端”步骤中上传您下载到计算机的证书。

取消选中“使用特定于域的发行者”。

输入网络掩码，如果要限制。

测试

前往Google Apps登入页面：

将创建SAML请求，您将被重定向到WiKID服务器上的WiKID登录页面。

启动您的WiKID令牌并生成一次性密码（假设您有一个注册令牌）。有关如何使您的用户进行双因素身份验证的更多信息 。

选择域。 WiKID软件令牌能够对多个企业的多个域进行身份验证。

输入您的电子邮件地址和WiKID软件令牌返回的一次性密码（它会自动粘贴到剪贴板中，因此您必须在密码框中按Ctrl-V才能执行此操作）并登录。

应该是 现在，您可以使用WiKID的双因素身份验证访问您的Google邮件。

本文档取代了以前的Google / WiKID双因素身份验证教程 。