FIDO U2F на сайте с изменяющимися именами хостов/IP-адресами

Question

У меня возникла ситуация, когда я хочу реализовать FIDO U2F (используя YubiKey) в административном интерфейсе для балансировки нагрузки, чтобы после входа в систему, чтобы управлять системой - U2F должен использоваться как дополнительный уровень аутентификации.

В течение всего срока службы системы - это общий для IP-адреса и имя хоста, используемое для доступа к нему для изменения (например, один раз это https://192.168.0.20/, то это https://lb-admin.company.com/, то это что-то еще и т. Д.).

Проблема заключается в том, что ключ регистрируется против appId (URL-адрес сайта), а затем appId закодирован в keyHandle. Есть ли способ разрешить несколько приложений или даже удалить ограничение appId при регистрации ключа?

Другими словами - зарегистрируйте один YubiKey, а затем используйте его из любой точки входа на веб-сайт или даже если доступ к веб-сайту осуществляется с использованием IP-адреса или домена, отличного от того, с которым ключ был первоначально зарегистрирован ?

Answer 1

Да, вы можете сделать зарегистрированную работу ключа U2F с разными именами хостов, используя несколько поддоменов ... так что это может быть lb-admin.company.com и lb-login.company.com и whatever.company.com и т. Д. на. (Не использовать IP)

Для этого ссылка на приложение должна указывать на онлайн-файл json, который будет обрабатываться как TrustedFacetList.

Реальный пример ... Вот это offcial GitHub AppID реализации этого: https://github.com/u2f/trusted_facets

Все детали и правила описаны здесь: FIDO AppID и Facet Спецификация (FacetID) https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-appid-and-facets-ps-20141009.html