【安当产品应用案例100集】006-某家电厂商业务系统五步集成多因素认证

多因素认证（Multi-Factor Authentication, MFA）是一种增强身份验证安全性的措施，它要求用户在登录过程中提供两个或更多个身份验证因素。安当ASP身份认证平台，采用的是业界主流的联邦化身份管理模式，能够支持在众多企业应用中，作为IdP的角色，实现了企业内应用间的单点登录（SSO），以及用户的多因素认证（MFA）等能力。这次的案例，我们首先介绍一下多因素认证的原理，然后介绍一个企业系统集成ASP实现多因素认证的案例。

一、多因素认证介绍

1、什么是多因素认证

多因素认证是一种身份验证方法，通过结合两个或更多个独立的验证因素来确认用户身份。这些因素通常包括用户所知的信息（如密码）、用户所拥有的物品（如手机、硬件令牌）、用户的生物特征（如指纹、面部识别）等。

基于“任何一种单因素都不足以提供足够的安全性”的原则，多因素认证通过结合多种独立的安全因素来提高身份验证的安全性。即使其中一个因素被泄露，攻击者也需要同时获取其他因素才能通过身份认证。

2、多因素认证有什么优势

增强安全性：多因素认证大大增加了未经授权访问的难度，减少了因单一因素泄露导致的安全风险。

防止身份冒用：通过多重验证方式，有效防止身份冒用和未经授权的访问。

保护敏感数据：多因素认证应用于各类敏感数据的保护，如账号密码、个人信息等。

提高业务连续性：能够快速恢复受影响的业务，减少因安全事件导致的业务中断。

3、多因素认证有哪些类型

基于知识的认证：如密码、PIN码等用户必须记忆的信息。

基于所有权的认证：如手机验证码、硬件令牌等用户必须拥有的物品。

基于生物特征的认证：如指纹、面部识别、虹膜扫描等用户自身的生物特征。

目前安当的多因素认证支持国密UKEY，FIDO令牌、OTP令牌（兼容国密，支持小程序和APP）等。

4、企业该如何实施多因素认证

评估需求：首先需要评估哪些场景需要多因素认证，如访问敏感数据、进行金融交易、登录远程系统等。

选择合适的身份验证因素：根据需求选择合适的身份验证因素，包括知识因素、所有权因素和生物识别因素。建议使用多种类型的因素，以提高安全性。

选择合适的身份验证技术：包括硬件令牌、手机应用程序、生物识别技术等。应该选择可靠的技术，以确保安全性和可用性。

实施与培训：实施多因素认证，并确保用户了解如何使用它。应该确保用户可以轻松地使用多因素认证，避免使用过于复杂或难以理解的技术。

定期评估与更新：定期评估和更新多因素认证，以确保安全性和可用性。应该检查身份验证因素的安全性和可用性，并及时更新身份验证技术。

5、多因素认证的应用场景

金融服务：银行、证券、支付等领域需要更高的安全性保护，以防止欺诈和数据丢失等风险。

医疗保健：医院、药房等场景包含大量的敏感数据和个人身份信息，需要更高的安全性保护。

政府机构：国防、国土安全、司法等领域包含国家机密和重要信息，需要更高的安全性保护。

企业内部系统：存储着大量的商业机密和客户信息，采用多因素身份认证可以防止内部人员泄露机密信息或非法访问客户数据。

二、安当实践

安当ASP身份认证平台是一套专业的IAM身份认证系统。具备灵活部署（云化、私有化）能力，并可以根据企业具体需求，使用不同的license完成企业业务系统的集成。

某电器厂商的业务系统，就是依托于ASP平台，对原有业务系统进行少量改造的情况下，实现了多因素认证能力。

具体的业务实现架构如下：

方案集成步骤如下：

Step1：内网部署Andang ASP（提供docker镜像、或虚拟机镜像）；

Step2：创建公司、创建应用、导入license，开启多因素，创建用户（不同业务系统用户账号需要统一）；

Step3：前端集成ASP SDK，配置应用ID和其他配置参数；

Step4：使用托管页方式接入ASP，点击登录按钮跳转到MFA认证页；

Step5：业务系统得到MFA认证结果，完成后续登录流程。

三、综述

多因素认证技术还在持续演进，将与生物识别技术、加密技术、威胁情报和安全自动化技术、区块链技术等进一步结合，提高身份验证的准确性和安全性。同时，无密码和无感知认证等新兴方式也将逐渐普及，为用户提供更加便捷和安全的身份验证体验。安当ASP系统也会根据技术发展，集成更多的多因素认证方式。

目前越来越多的客户有等保、密评需求。第一步改造就是业务系统增加多因素认证。多因素认证方案是一种有效的身份验证方式，能够显著提高系统的安全性。在实施过程中，需要根据实际需求选择合适的身份验证因素和技术，并定期进行评估和更新，以确保系统的安全性和可用性。

文章作者：太白  ©本文章解释权归安当西安研发中心所有

————————————————