我目前正在使用 Keycloak 为类似于 Rancher 的服务设置 WebAuthn。我已成功配置 WebAuthn 并且它按预期工作。为了进一步增强安全性,我已将特定 AAGUID 列入白名单,以仅启用 YubiKeys。
现在,我想确保使用的 YubiKey 都是我自己配置的,而不是随机购买的 YubiKey。这个想法是将 YubiKey 的使用限制在我分发给团队成员的范围内,而不是允许注册任何 YubiKey。
我不确定这种行为在 WebAuthn 的上下文中是否有意义,或者是否可能。如果确实可行,有人可以指导我如何实现这一目标吗?
任何见解或建议将不胜感激。预先感谢您的帮助!
我认为有两种选择:
但是,后一个选项仅适用于定制的 YubiKey,因为必须预先配置可用 EA 的来源。