允许用户选择加入 MFA

Posted 2023-02-19

【中文标题】允许用户选择加入 MFA

【英文标题】：Allow user to opt in to MFA

【发布时间】：2022-01-03 07:26:43

【问题描述】：

我已经能够利用 Keycloak 在“身份验证”中的“默认操作”部分强制新用户通过 Google Authenticator 设置 MFA。

但是，我只能为所有用户设置此必需，甚至无法启用。我正在寻找一种方法，允许用户在注册期间通过 OTP选择加入 MFA。

【问题讨论】：

用户可以随时在账户控制台配置OTP。如果您想添加可选的 OTP 选择加入，您将需要更改/扩展注册流程。

所以基本上，你想让它成为可选的，并很好地询问用户是否想使用它？

@Menelaos 完全正确

【参考方案1】：

没有开箱即用的默认选项来实现此身份验证流程。

您可以创建自定义身份验证流程，其中包含要求用户执行 MFA 的步骤。

这可以使用 javascript 身份验证器 (https://www.keycloak.org/docs/latest/server_development/#_script_providers) 或 java 服务提供者接口来实现。 https://www.keycloak.org/docs/latest/server_development/#_auth_spi

【参考方案2】：

我认为您需要使用身份验证 API，特别是用于扩展注册页面/表单的 API。

见：https://www.keycloak.org/docs/latest/server_development/#modifying-extending-the-registration-form

今晚我会试一试，并更新我的答案。