精华内容
下载资源
问答
  • 为了了解 MFA 当前的设计和可用性问题,我们分析了来自主要分销商(例如 Amazon、Google Play、Apple App Store 等)的基于应用程序MFA 工具的汇总用户生成评论(N = 12,500)。 虽然一些用户承认 MFA 的安全...
  • django-mfa:Django-mfa(多因素身份验证)是一个简单的程序包,可为django Web应用程序增加额外的安全层。 它为Web应用程序提供了一个随机更改的密码,以提供额外保护,并且还支持u2f
  • Akamai MFA-crx插件

    2021-04-03 20:46:20
    适用于Chrome浏览器的Akamai MFA应用程序是智能手机Akamai MFA移动应用程序的配套产品。 Akamai MFA Chrome扩展程序… 适用于Chrome浏览器的Akamai MFA应用程序是智能手机Akamai MFA移动应用程序的配套产品。 Akamai...
  • cdk多配置文件插件 向CDK应用程序添加多配置文件/帐户,MFA和AWS SSO支持 文献资料 。
  • 如何给AWS CLI启用MFA

    2021-07-30 16:23:58
    这里选择虚拟MFA应用程序,需要在手机上安装相应的软件。这里我选择了Authenticator,其他的可以去AWS文档查看。 打开软件,选择添加账户,选择其他账号,扫描二维码,然后就可以将虚拟MFA应用程序和该用户绑定了。...

    因为AWS CLI不存在控制台直接打开MFA功能,然后生活中遇见了,那么就记录一下吧

    给IAM用户开启MFA

    首先需要在IAM用户-安全证书,点击开启MFA
    在这里插入图片描述

    这里选择虚拟MFA应用程序,需要在手机上安装相应的软件。这里我选择了Authenticator,其他的可以去AWS文档查看。
    打开软件,选择添加账户,选择其他账号,扫描二维码,然后就可以将虚拟MFA应用程序和该用户绑定了。然后输入软件中两个连续的认证代码即可激活该MFA功能。
    在这里插入图片描述

    这时候打开一个无痕浏览器验证一下,进入登陆页面
    在这里插入图片描述

    可以发现出现了MFA代码输入框,只有输入提交MFA代码,才能够正常登录。
    在这里插入图片描述

    做到这里,已经成功实现了MFA控制aws控制台登录的功能。

    AWS CLI开启MFA

    回到IAM的用户界面,选择权限,点击添加权限。
    在这里插入图片描述

    选择直接附加现有策略下的创建策略
    在这里插入图片描述

    将相关的策略填入json下即可
    在这里插入图片描述

    其中arn:aws:iam::需要替换成符合中国区规范的arn地址 arn:aws-cn:iam::

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowViewAccountInfo",
                "Effect": "Allow",
                "Action": "iam:ListVirtualMFADevices",
                "Resource": "*"
            },
            {
                "Sid": "AllowManageOwnVirtualMFADevice",
                "Effect": "Allow",
                "Action": [
                    "iam:CreateVirtualMFADevice",
                    "iam:DeleteVirtualMFADevice"
                ],
                "Resource": "arn:aws:iam::*:mfa/${aws:username}"
            },
            {
                "Sid": "AllowManageOwnUserMFA",
                "Effect": "Allow",
                "Action": [
                    "iam:DeactivateMFADevice",
                    "iam:EnableMFADevice",
                    "iam:GetUser",
                    "iam:ListMFADevices",
                    "iam:ResyncMFADevice"
                ],
                "Resource": "arn:aws:iam::*:user/${aws:username}"
            },
            {
                "Sid": "DenyAllExceptListedIfNoMFA",
                "Effect": "Deny",
                "NotAction": [
                    "iam:CreateVirtualMFADevice",
                    "iam:EnableMFADevice",
                    "iam:GetUser",
                    "iam:ListMFADevices",
                    "iam:ListVirtualMFADevices",
                    "iam:ResyncMFADevice",
                    "sts:GetSessionToken"
                ],
                "Resource": "*",
                "Condition": {
                    "BoolIfExists": {"aws:MultiFactorAuthPresent": "false"}
                }
            }
        ]
    }
    

    或者也可以通过可视化编辑器编辑策略。然后将创建好的策略附加给用户即可。
    在这里插入图片描述

    这时候登录到安装了AWS CLI以及配置好AWS configure的服务器上,这时候使用aws s3 ls命令会发现是没有权限来列出S3中的内容的。
    在这里插入图片描述

    运行下方命令来获取临时凭证,然后export导入即可

    aws sts get-session-token --serial-number 用户ARN --token-code MFA码
    
    export AWS_ACCESS_KEY_ID=333
    export AWS_SECRET_ACCESS_KEY=222
    export AWS_SESSION_TOKEN=111
    

    在这里插入图片描述

    这时候再aws s3 ls即可获取到相应的桶列表了
    在这里插入图片描述

    如果想取消凭证可以unset配置,想要重新配置凭证,也需要unset配置

    unset AWS_ACCESS_KEY_ID
    unset AWS_SECRET_ACCESS_KEY
    unset AWS_SESSION_TOKEN
    

    在这里插入图片描述

    GitHub @ndmiao  · 
    BiliBili @南岛鹋  · 
    知乎 @南岛鹋  · 
    CSDN @南岛鹋  · 
    博客园 @南岛鹋  · 
    个人站点 @南岛鹋

    打赏

    支付宝微信
    展开全文
  • MFA多因素验证

    2021-03-22 11:43:00
    MFA:即Multi-FactorAuthentication多因素认证,是需要一部智能手机并安装虚拟MFA应用程序即可在账户上加上一层安全保险。 TOTP算法:即Time-Based One-Time Password基于时间的一次性密码,其核心内容包括以下三点...

    需求

    资源后台增加二次认证,提高系统安全性。

    原理

    要点说明

    MFA:即Multi-FactorAuthentication多因素认证,是需要一部智能手机并安装虚拟MFA应用程序即可在账户上加上一层安全保险。 TOTP算法:即Time-Based One-Time Password基于时间的一次性密码,其核心内容包括以下三点:

    1. 共同密钥
    2. 共同时间
    3. 共同签署方法

    逻辑说明

    1. 后台生成密钥,然后以二维码形式展示给用户;
    2. 用手机扫码添加MFA账号,生成6位安全码;将安全码添加到网站,确认绑定;
    3. 每次登陆,通过手机获取6位安全码并填写到网站登陆,后台会通过TOTP算法重新生成6位安全码跟页面获取安全码比对验证是否为合法用户。

    注意

    MFA用户只能绑定一次,手机端MFA账户不能删除;一旦删除需要提工单技术介入处理。

    def random_base32(length=16):
        """生成共同密钥"""
        return ''.join(
            random.choice(chars)
            for _ in range(length)
        )
    
    
    def get_mfa_code(secret_key):
        """
        生成6位安全码
        :param secret_key: mfa添加账号时使用的密钥
        :return:
        """
        interval = int(time.time()) // 30  # 安全码持续时长
        key = base64.b32decode(secret_key)
        msg = struct.pack(">Q", interval)
        code = hmac.new(key, msg, hashlib.sha1).digest()
        o = ord(chr(code[19])) & 15
        code = str((struct.unpack(">I", code[o:o + 4])[0] & 0x7fffffff) % 1000000)
        code = '0' * (6 - len(code)) + code  # 如果安全码不足6位, 补齐至6位
        return code
    
    
    def verify_mfa(mfa_code, secret):
        """校验安全码是否一致"""
        return mfa_code == get_mfa_code(secret)
    

    常见(但不局限于)的MFA应用程序:

    手机类型MFA应用程序
    iPhoneGoogle Authenticator,Eagle 2FA
    AndroidEagle 2FA,身份宝,洋葱
    Windows Phone身份验证器
    BlackberryGoogle Authenticator

    参考文档

    1. 阿里云官方文档:https://help.aliyun.com/document_detail/62184.html?spm=a2c4g.11186623.6.721.27d5728517sMbv
    2. google authenticator算法TOTP的python实现:https://yq.aliyun.com/articles/683367/
    展开全文
  • [AWS]根账户激活MFA多因子认证配置

    千次阅读 2019-03-07 11:15:42
    1、登录IAM控制台 https://console.aws.amazon.com ... 3、选择 “虚拟MFA设备” ...5、下载MFA应用程序 https://amazonaws-china.com/cn/iam/details/mfa/ 6、下载好软件进行扫码识别就行 ...

    1、登录IAM控制台

          https://console.aws.amazon.com

    2、点击MFA管理

          [AWS]根账æ·æ¿æ´»MFAå¤å å­è®¤è¯éç½®

     

    3、选择 “虚拟MFA设备”

       [AWS]根账æ·æ¿æ´»MFAå¤å å­è®¤è¯éç½®

     

    4、下一步

     [AWS]根账æ·æ¿æ´»MFAå¤å å­è®¤è¯éç½®

    5、下载MFA应用程序

      https://amazonaws-china.com/cn/iam/details/mfa/[AWS]根账æ·æ¿æ´»MFAå¤å å­è®¤è¯éç½®

     

    6、下载好软件进行扫码识别就行

    展开全文
  • aws mfa 认证I am currently working on improving the security of cloud operations for one of my clients and wanted to share an interesting solution I developed to help provide programmatic access to ...

    aws mfa 认证

    I am currently working on improving the security of cloud operations for one of my clients and wanted to share an interesting solution I developed to help provide programmatic access to AWS from local developer environments using Federated Identities only.

    我目前正在为一个客户改善云操作的安全性,并希望分享我开发的一个有趣的解决方案,以帮助仅使用联邦身份从本地开发人员环境提供对AWS的编程访问。

    挑战 (The Challenge)

    Accessing AWS resources from outside VPC usually requires some sort of AWS credentials. There are two forms of access credentials — long term and short term keys. To create long term credentials, you use IAM users. Each member on the team gets their own IAM user that they can then use to generate these long term credentials.

    从VPC外部访问AWS资源通常需要某种AWS凭证。 访问凭证有两种形式-长期密钥和短期密钥。 要创建长期凭证,请使用IAM用户。 团队中的每个成员都有自己的IAM用户,然后可以使用他们来生成这些长期凭证。

    However, my goal was to completely migrate our team to using purely Federated Identities for all forms of AWS access. This approach comes with several great benefits described in detail in this chapter of IAM service documentation. One additional challenge we were facing was that our corporate login portal was protected by an MFA layer.

    但是,我的目标是将我们的团队完全迁移到对所有形式的AWS访问都使用纯粹的联合身份。 此方法具有IAM服务文档这一章中详细描述的一些巨大好处。 我们面临的另一个挑战是我们的公司登录门户受到MFA层的保护。

    Note: If you don’t have a corporate portal for federated user authentication, please take a look at this AWS blog post to see how you can set it up.

    注意:如果您没有用于联合用户身份验证的公司门户,请 查看此AWS博客文章, 以了解如何进行设置。

    解决方案 (The Solution)

    The solution that I came up with consists of multiple parts.

    我想出的解决方案包括多个部分。

    1. First, we’re going to use a browser automation framework to load up and log in to the portal. We’re going to be using Selenium and that’s what’s going to help us solve the MFA challenge I mentioned above.

      首先,我们将使用浏览器自动化框架来加载并登录到门户。 我们将使用Selenium,这将帮助我们解决上面提到的MFA挑战。
    2. We will then use a MITM proxy to capture network exchange data and a few lines of code to extract a SAML assertion from it. In my experience Selenium API was not helpful with this at all and using MITM proxy was the only way to capture the SAML AJAX exchange.

      然后,我们将使用MITM代理捕获网络交换数据,并使用几行代码从中提取SAML断言。 以我的经验,Selenium API根本没有帮助,使用MITM代理是捕获SAML AJAX交换的唯一方法。

    3. Lastly, we will use the STS class from AWS SDK to authenticate as a Federated Identity of our choice. Authentication step will return a set of temporary access credentials that we will use to set up access to CodeCommit with git * command-line util, and access to AWS resources from a Node.js application.

      最后,我们将使用AWS开发工具包中的STS类将身份验证为我们选择的联合身份。 身份验证步骤将返回一组临时访问凭证,我们将使用它们来设置对使用git *命令行util的CodeCommit的访问,以及从Node.js应用程序对AWS资源的访问。

    1.自动化企业门户登录 (1. Automating Corporate Portal Sign-In)

    The implementation of this step heavily depends on how your corporate sign-in portal is implemented. You will need to use the Selenium web driver to programmatically interact with the sign-in page. On top of that, you will also likely need to implement some sort of command-line prompt to collect ADFS credentials from the user, notify them of the current sign-in process status, whether they should grab and enter an OTP code or take action on whatever other MFA mechanism you might be using.

    此步骤的实现很大程度上取决于公司登录门户的实现方式。 您将需要使用Selenium Web驱动程序以编程方式与登录页面进行交互。 最重要的是,您可能还需要实施某种命令行提示符,以从用户那里收集ADFS凭据,将当前登录过程的状态通知给用户,无论是应获取并输入OTP代码还是采取措施。您可能正在使用的任何其他MFA机制。

    2.设置代理,提取SAML声明 (2. Setting Up a Proxy, Extracting a SAML Assertion)

    We will be using browsermob-proxy for this step since it supports HTTPS (full MITM). It will run as a separate process in the operating system. Setting up this proxy was a little frustrating to me in the beginning and you might feel the same way, so let me explain how it works:

    我们将在此步骤中使用browsermob-proxy ,因为它支持HTTPS(完整的MITM)。 它将在操作系统中作为单独的进程运行。 刚开始时,设置此代理会使我有些沮丧,您可能会有相同的感觉,所以让我解释一下它是如何工作的:

    1. You spawn a browsermob-proxy daemon in your system. Separately from your Selenium app. You select a host and port to run it on, however that daemon itself is not a proxy yet.

      您在系统中生成了browsermob-proxy守护程序。 与您的Selenium应用分开。 您选择了一个主机和端口来运行它,但是该守护程序本身还不是代理

    2. To create a proxy, you send an HTTP POST request to the daemon to the /proxy route with query parameters as settings. That creates a new proxy on that daemon and makes it available at a specified host and port. Two settings you might end up finding useful are port and httpProxy. First allows you to specify which port to create a proxy on, and second allows you to specify an upstream proxy, which is useful if your corporate sign-in portal is hidden behind a corporate proxy.

      要创建代理,您需要使用查询参数作为设置向/proxy路由向守护程序发送HTTP POST请求。 将在该守护程序上创建一个新的代理,并使其在指定的主机和端口上可用。 您可能最终发现有用的两个设置是porthttpProxy 。 首先,您可以指定要在哪个端口上创建代理,其次,您可以指定上游代理,如果您的公司登录门户隐藏在公司代理的后面,则这很有用。

    The following example will create a browsermob daemon on localhost port 9900 and a MITM proxy on localhost port 27960. It will also instruct your new proxy to send all incoming requests through proxy.corp.company.com upstream proxy effectively creating a proxy chain.

    下面的示例将在localhost端口9900上创建一个browsermob守护程序,并在localhost端口27960上创建一个MITM代理。它还将指示您的新代理通过proxy.corp.company.com上游代理发送所有传入请求, proxy.corp.company.com有效地创建了代理链。

    # start a browsermob daemon
    # to install it, follow instructions on it's GitHub homepage
    # https://github.com/lightbody/browsermob-proxy/
    /usr/bin/browsermob-proxy -port 8080# create a MITM proxy
    curl -X POST localhost:9900/proxy?port=27960&httpProxy=proxy.corp.company.com

    After proxy is instantiated you will need to instruct the browser instance to use it. If you’re using Chrome pass the following switch when launching it:

    实例化代理后,您将需要指示浏览器实例使用它。 如果您使用的是Chrome,请在启动时通过以下开关:

    --proxy-server localhost:27960

    With Selenium that can be done by using ChromeOptions class. You can read more about configuring proxy settings in Chrome over CLI here.

    使用Selenium可以通过使用ChromeOptions类来完成。 您可以在此处阅读有关在Chrome over CLI中配置代理设置的更多信息。

    Now to extract a SAML assertion we will need to do a few things. First, we will need to start recording network activity before the console sign-in event. Second, after the sign-in is successfully completed, we will need to fetch the recorded activity back from the proxy server:

    现在要提取SAML断言,我们需要做一些事情。 首先,我们需要在控制台登录事件之前开始记录网络活动。 第二,成功完成登录后,我们需要从代理服务器取回记录的活动:

    # initiate recording by sending a PUT request to browsermob daemon;
    # captureContent param will enable recording of POST data;
    # number between /proxy and /har is port where MITM proxy is runningcurl -X PUT localhost:9900/proxy/27960/har?captureContent=true# user signs-in to AWS console through corporate sign-in portal...
    # ...success!# run the same exact command to fetch the data recorded so far
    curl -X PUT localhost:9900/proxy/27960/har?captureContent=true

    This command will return a pretty hefty JSON response in HAR format which you will need to programmatically iterate through, looking for a POST request to https://signin.aws.amazon.com/saml. The request will contain a field named SAMLResponse and data within that field is what we need.

    该命令将以HAR格式返回一个相当庞大的JSON响应,您需要以编程方式对其进行迭代,以查找对https://signin.aws.amazon.com/saml的POST请求。 该请求将包含一个名为SAMLResponse的字段,该字段中的数据就是我们所需要的。

    At this point, you may also choose to shut down the proxy to prevent potential memory leaks. That can be done by sending a DELETE request to the daemon:

    此时,您还可以选择关闭代理,以防止潜在的内存泄漏。 可以通过向守护程序发送DELETE请求来完成:

    curl -X DELETE localhost:9900/proxy/27960

    3.提取和使用临时访问凭证 (3. Fetching and Using Temporary Access Credentials)

    Now that we have the SAML assertion it’s time to turn it into a pair of temporary access credentials. As I already mentioned we’re going to be using STS class from AWS SDK (read more on assumeRoleWithSAML here).

    现在我们有了SAML断言,是时候将其变成一对临时访问凭据了。 正如我已经提到,我们要使用从AWS SDK STS类 (阅读更多关于assumeRoleWithSAML 这里 )。

    // javascript codeconst params = {
    SAMLAssertion: "AssertionYouGotFromHarDump",
    PrincipalArn: "arn:of:saml:provider:for:federated/identity",
    RoleArn: "arn:of:federated:identity:that:fetched/samlAssertion"
    }
    sts.assumeRoleWithSAML(params, () => ...);

    Function call responds with STS credentials that can be used in our local environment applications now.

    函数调用以STS凭据响应,该凭据现在可以在我们的本地环境应用程序中使用。

    // successful response
    {
    ...
    Credentials: {
    AccessKeyId: "AAAAAABBBBBBBCC...",
    Expiration: <Date Representation>,
    SecretAccessKey: "sEcReTaCcEsSkEy...",
    SessionToken: "sEsSiOnToKeN..."
    }
    ...
    },

    To use them, first, you need to make sure that you don’t specify any AWS access keys in your OS, shell or application environment variables, including injection of environment variables into your application from .env files.

    要使用它们,首先,需要确保在OS,shell或应用程序环境变量中未指定任何AWS访问密钥,包括从.env文件向应用程序注入环境变量。

    Once verified you can plug in your newly obtained credentials over to ~/.aws/credentials file by either modifying it programmatically or by using AWS CLI:

    验证后,您可以通过编程方式修改它或使用AWS CLI将新获得的凭据插入~/.aws/credentials文件中:

    # set credentials on the default AWS CLI profileaws configure set aws_access_key_id AAAAAAAAAA... --profile default
    aws configure set aws_secret_access_key bQbGAb... --profile default
    aws configure set aws_session_token aaABAaabAA... --profile default

    This will provide access to AWS for all applications or shell scripts that use AWS CLI or AWS SDK because both tools will read from configuration stored in the ~/.aws directory. In fact, there is a whole fallback system that these tools follow which is why I asked you to make sure you don’t specify any environment variables first!

    这将为使用AWS CLI或AWS开发工具包的所有应用程序或Shell脚本提供对AWS的访问,因为这两种工具都将从存储在~/.aws目录中的配置读取。 实际上,这些工具遵循一个完整的后备系统 ,这就是为什么我要您确保不首先指定任何环境变量的原因!

    Note: You might prefer to go an extra step and assume a different role with more restrictive permissions depending on the application that you’re trying to provide programmatic access for. In that case, you will need to run another STS call using credentials that you have already obtained:

    注意:根据您要为其提供程序化访问的应用程序,您可能更愿意采取其他措施,并担任其他角色,并具有更多限制性的权限。 在这种情况下,您将需要使用已经获得的凭据来运行另一个STS调用:

    const params = {
    AccessKeyId: "...keyYouObtained",
    SecretAccessKey: "...keyYouObtained",
    SessionToken: "...keyYouObtained",
    RoleArn: "arn:of:role:that:you:want/toUse",
    RoleSessionName: "user.email@company.com"
    }
    sts.assumeRole(params, ...);

    Keep in mind though that with this approach you’re going to have to work through an additional challenge of trying to figure out how to insert credentials specifically into applications that are going to be using them, as we won’t be able to simply edit ~/aws configuration with a single pair of credentials anymore.

    请记住,尽管采用这种方法,您将不得不克服另一个挑战,即试图弄清楚如何将凭证专门插入将要使用它们的应用程序中,因为我们将无法简单地进行编辑~/aws配置不再带有一对凭据。

    配置Git以使用临时证书 (Configuring Git To Use Temporary Credentials)

    So far we were able to grab a set of temporary credentials and use them in applications running on our local environments. However, if you’re using CodeCommit you might want to also update Git configuration to work over temporary STS credentials. This will allow you to avoid having to use SSH or HTTPS credentials which are essentially just another form of long term credentials, that we’re trying to get rid of.

    到目前为止,我们已经能够获取一组临时凭据并将其用于在本地环境中运行的应用程序中。 但是,如果您使用的是CodeCommit,则可能还需要更新Git配置以使用临时STS凭据。 这将使您避免使用SSH或HTTPS凭证,而这实际上只是我们要摆脱的另一种长期凭证。

    To switch to temporary credentials, disable any current Git credential managers in use, then run following git commands:

    要切换到临时凭证,请禁用任何当前正在使用的Git凭证管理器 ,然后运行以下git命令:

    git config --global credential.helper \
    '!aws codecommit credential-helper $@'
    git config --global credential.UseHttpPath true

    Note: If you’re running these git commands on Windows, omit ‘\’ with a new line, and use double-quotes instead of single-quotes to wrap [!aws … $@] part.

    注意:如果您在Windows上运行这些git命令,请用新行省略'\',并使用双引号而不是单引号来包装[!aws…$ @]部分。

    After that make sure to update origin URLs in every local Git repository pulled from CodeCommit to HTTPS format if you have been using SSH format. Also, make sure to do the same inpackage.json files across all projects that use CodeCommit packages as NPM dependencies.

    之后,如果您一直在使用SSH格式,请确保将每个从CodeCommit提取到HTTPS格式的本地Git存储库中的原始URL更新。 另外,请确保在所有使用CodeCommit软件包作为NPM依赖项的项目中,在package.json文件中执行相同的操作。

    If these package.json updates, however, break your build or deployment pipelines in the cloud, check out the article I wrote about using temporary credentials in CI/CD pipelines in AWS cloud!

    但是,如果这些package.json更新破坏了您在云中的构建或部署管道,请查看我写的有关在AWS云中在CI / CD管道中使用临时凭证的文章

    结论 (Conclusion)

    Depending on your use case you might end up automating this process even further to better improve the developer experience. I decided to not dive into that much detail since this article is getting pretty long at this point :), but I can absolutely imagine packaging up this Selenium application along with browsermob daemon and all of its dependencies in a Docker image and even integrating it as a micro-service into existing containerized applications.

    根据您的用例,您可能最终会进一步自动化该过程,以更好地改善开发人员的体验。 我决定不去讨论那么多细节,因为本文到现在为止还很长:),但是我绝对可以想象将这个Selenium应用程序与browsermob守护程序及其所有依赖项一起打包在Docker映像中,甚至将其集成为将微服务引入现有的容器化应用程序。

    Switching to short term credentials improves the overall security of cloud operations of your team. An additional benefit in using purely Federated Identities to provide AWS access is that access is revoked as soon as ADFS credentials bound to the identity cease to exist. So if someone leaves the company you don’t leave yourself a chance to forget to clean up your IAM users list and accidentally leave a hole in your infrastructure security!

    切换到短期凭证可提高团队的云运营的整体安全性。 使用纯联邦身份提供AWS访问的另一个好处是,一旦绑定到该身份的ADFS凭据不复存在,访问将被撤销。 因此,如果有人离开了公司,您将不会失去忘记清理IAM用户列表的机会,并且会意外地在基础架构安全方面留下漏洞!

    Thank you for reading this article! If you would like to see more content like this in the future please leave a like and share this article. Till next time!

    感谢您阅读本文! 如果您以后希望看到更多类似内容,请点赞并分享此文章。 直到下一次!

    翻译自: https://medium.com/@arkadyt/setting-up-programmatic-aws-access-for-mfa-protected-federated-identities-3be22bcecf4b

    aws mfa 认证

    展开全文
  • 上次介绍了ExchangeOWA上启用MFA多因子认证,今天介绍下,通过MFA的RADIUS来实现多因子认证!安装启用MFA、导入AD账号、设置电话号码、语言选项等过程可参考上篇文章(http://blog.51cto.com/hubuxcg/2068870) 中1-...
  • 您将使用用户注册和登录构建一个React应用程序,该应用程序允许您使用在AWS Lambda中运行的应用程序对DynamoDB表执行CRUD操作。 API网关将通过代理集成使用仅具有经过身份验证的用户才能访问的贪婪路径来调用Lambda...
  • 使用基于RFC6238(TOTP)的一次性密码注册和验证用户。mfa服务器实现应用程序使用的REST接口,以便添加多因素身份验证安全性。
  • 现在,软件即服务(SaaS)应用程序比以往任何时候都更加重要,它们不仅能支持通信和协作,还能帮助组织高效地管理内部运营,快速创新以保持在竞争者中的领先地位,提供更大的客户价值,是远程工作人员的生命线。...
  • 邮件在现在的商业应用中已经越来越重要,几个月前,某知名咨询机构遭遇了史上最严重的******,******了该公司全球电子邮件服务器的管理员账号(未启用双因子认证),让***成功获取了足够访问权限,超过500万封电子...
  • 微小的MFA 用Go语言编写的tinymfa实现。 有关更多信息,请参见 。 我们在github上的存储库: : 。 ... 使用它可以使用户在身份验证器应用程序中注册其密钥 该api提供了一个端点来验证令牌。 使用
  • 最近客户有个需求,希望把面向public的Web应用中的终端用户数据库由Azure AD来实现,同时希望可以用MFA来实现用户身份认证。这个想法非常好,通过使用Azure的managedserviceAAD,耗时耗力的数据库运维工作由Azure来...
  • 附录D 套接字应用程序 Table of Contents 套接字应用程序 D.1 例子 D.1.1 第一步:写一个配置文件 D.1.2 第二步:编写服务器代码 D.1.3 第三步:启动服务器 D.1.4 第四步:通过网络访问服务器 ...
  • 在 openFrameworks 中创建的交互式应用程序。 当用户触摸屏幕或在屏幕上拖动手指时,鲜花盛开,藤蔓生长。 由 Bryan Collinsworth,MFA 设计与技术候选人,Parsons The New School for Design 创建。
  • 使用Chrome扩展将您的业务应用程序安全地访问您的业务应用程序或注册/登录连接的网站和服务,而无需使用密码或用户名。忘记再次创建,记住或重置密码。所有您将需要立即登录您的电子邮件地址和可信设备,因此您无需...
  • 1、适用于 Office 365 的多重身份验证 此版本专门与 Office 365 应用程序配合使用,可以从 Office 365 门户进行管理。 管理员可以使用双重验证来保护 Office 365 资源。 此版本是 Office 365 订阅的一部分。 2、...
  • MFA 经验分享

    2018-11-14 16:18:55
    1、为什么要使用MFA? 答:使用MFA是加强企业用户访问资源的身份验证,对企业用户来说意味着更安全; 2、本地版和O365 Multi-Factor Authentication支持的身份认证功能对比如下:官方链接如下:...
  • 在本文中,我们将展示如何使用Spring Security 5.0中引入的OAuth 2.0客户端库 ,在Spring Boot应用程序中为身份验证用户使用Amazon Cognito服务。 什么是AWS Cognito? Amazon Cognito是由AWS提供的服务,除了提供...
  • 该示例应用程序已归档,有利于 。 尽管已存档的存储库仍然可以使用,但是如果您想使用此示例,请对该+1功能请求进行+1。 在AWS上引导React Native应用程序。 该启动程序自动为无服务器基础架构配置身份验证,授权,...
  • 在本教程中,您将学习如何为IBM Cloud Node.js应用程序配置双重身份验证。 向用户的电子邮件地址发送单独的令牌会使伪装成该用户变得更加困难。 潜在的攻击者不仅必须窃取密码,而且还需要侵入邮件服务器以获取令牌...
  • Authelia是一种开源身份验证和授权服务器,可通过Web门户为您的应用程序提供2要素身份验证和单点登录(SSO)。 它充当反向代理(如 , 或的伴侣,以使他们知道查询是否应该通过。 未经身份验证的用户将重定向到...
  • 什么是 MFA

    2021-09-07 13:11:17
    Multi-Factor Authentication (MFA) 是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。 启用 MFA 后,用户登录阿里云网站时,系统将要求...MFA 设备可以基于硬件也可以基于软件,目
  • 使该发行版与众不同的原因是,我们已经开发了这些图表,以与第三方服务(例如用于身份验证(OAuth2)的Github和用于MFA的Duo)集成。 该项目是我们针对DevOps的全面方法的一部分。 它是100%开源的,并根据...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 898
精华内容 359
关键字:

mfa应用程序