Návody FIT
Jdi na navigaci

FIDO2 – Klíčenka

Nastavení

Jako klíčenku doporučujeme použít YubiKey 5C NFC nebo GoTrust IdemKey.

Varování:

Pro nastavení klíčenky musí mít uživatel aktivovanou MFA metodu přes Microsoft Authenticator, TOTP nebo mít dočasné přístupové heslo (TAP). O dočasné přístupové heslo si lze požádat pomocí Formuláře na Helpdesku ICT.

Windows

  1. Pro nastavení PINU na klíčence lze v nastavení v sekci Účty  Možnosti přilášení, vybrat možnost Klíč zabezpečení, kliknout na Spravovat a nastavit si PIN kód.

    yk ws 1
  2. Pokračovat níže na kroky společné pro všechny systémy.

Linux

Nastavit si PIN na klíčence.

  • YubiKey

    Konzole
    1. Dle distribuce je třeba nainstalovat YubiKey Manager.
      Arch Linux
      sudo pacman -S yubikey-manager
sudo systemctl enable pcscd.socket
      Debian / Ubuntu
      sudo apt-add-repository ppa:yubico/stable
sudo apt update
sudo apt install yubikey-manager
      Fedora
      sudo dnf install yubikey-manager

    2. Po instalaci a zapojení YubiKey do počítače je potřeba zkontrolovat, že zařízení YubiKey rozpoznává.

      ykman info

    3. Ukázka úspěšného čtení:

      Device type: YubiKey 5 NFC
Serial number: 4200689
Firmware version: 5.7.1
Form factor: Keychain (USB-A)
Enabled USB interfaces: OTP, FIDO, CCID
NFC transport is enabled
Applications	USB    	NFC
Yubico OTP  	Enabled	Enabled
FIDO U2F    	Enabled	Enabled
FIDO2       	Enabled	Enabled
OATH        	Enabled	Enabled
PIV         	Enabled	Enabled
OpenPGP     	Enabled	Enabled
YubiHSM Auth	Enabled	Enabled

    4. Následně nastavení PIN kódu.

      ykman fido access change-pin

  • GoTrust IdemKey

    Webový prohlížeč

    1. Ve webovém prohlížeči Google Chrome/Chromium je potřeba otevřít adresu chrome://settings/securityKeys.

      go trust 1

    2. Otevřít záložku Vytvoření kódu PIN.

      go trust 2

    3. Připojit klíčenku k zařízení.

      go trust 3

    4. Po vložení klíčenky lze vytvořit PIN kód a kliknout na Uložit.

      go trust 4

Společné

  1. Na počítači otevřít stránku https://mysignins.microsoft.com/security-info a přihlásit se pomocí svého univerzitního účtu username@cvut.cz a hesla ČVUT.

  2. Kliknout na Přidat metodu přihlašování.

    yk web 1

  3. Zvolit možnost Bezpečnostní klíč.

    yk web 2

  4. Vybrat možnost Zařízení USB.

    yk web 3

  5. Připravte si klíč a kliknout na Další.

    yk web 4

  6. Zapojte klíč do počítače a počkat, než je uživatel přesměrován na další stránku.

    yk web 5

  7. Po přesměrování zadat PIN kód, který byl vytvořen v kroku 1.

    yk web 6

  8. Dotknout se klíče.

    yk web 7

  9. Kliknout na Povolit.

    yk web 8

  10. Pojmenovat si svůj klíč a kliknout na Další.

    yk web 10

  11. Klíč byl úspěšně přidán.

    yk web 9
Varování:

V případě, že přidání FIDO2 klíčenky selže s neznámou chybou, je třeba aby uživatel zkontroloval, že na klíčence nastavil správně PIN. Klíčenku bez PIN kódu nelze pro potřeby MFA registrovat.