ホスト名/ IPアドレスが変更されたサイトのFIDO U2F

Question

システムを管理するために、ログイン後にロードバランサへの管理インターフェイスでFIDO U2F（YubiKeyを使用）を実装したい状況があります。 - U2Fは認証の追加層として使用する必要があります。

システムの寿命は、変更するためにアクセスするIPアドレスとホスト名でよく使用されます（たとえば、https://192.168.0.20/になると、https://lb-admin.company.com/となります）。

問題は、キーがappId（サイトのURL）に対して登録されていて、appIdがkeyHandleにエンコードされていることです。複数のappIdを許可する方法や、キーを登録するときにappIdの制限を削除する方法はありますか？

つまり、1つのYubiKeyを登録してから、Webサイトの任意のエントリポイントから、またはWebサイトがIPアドレスまたはそれとは異なるドメインを使用してアクセスされた場合であっても、 ？

Answer 1

はい、いくつかのサブドメインを使用して購入する異なるホスト名で登録されたU2Fキーを動作させることができます。lb-admin.company.com、lb-login.company.com、whatever.company.comなどがあります。に。 （IPを使用しないでください）

これを実行するには、AppIdリファレンスがTrustedFacetListとして処理されるオンラインjsonファイルを指している必要があります。すべての詳細とルールはここで説明されている https://github.com/u2f/trusted_facets

： FIDOのAppIDとファセット仕様（FacetID） https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-appid-and-facets-ps-20141009.html

を

実世界の例...ここoffcialのGitHubのAppIDが、これを実施しています