可选的密钥配置

禁用上次登录时间更新

默认情况下，在使用该凭证成功进行身份验证后，Domino 将始终在 passkey.nsf 中更新该凭证的上次登录时间。这可能会对流量大的服务器的性能产生负面影响。在服务器的 Notes.ini 中设置PASSKEY_ALWAYS_UPDATE_LAST_LOGIN=0将禁用此功能，并导致 Domino 仅在身份验证过程中身份验证器发送非零计数器时更新凭证的上次登录时间。这将提高性能，但会导致 passkey.nsf 中的上次登录时间不一致。

禁用证明请求

证明声明可以在主动受到攻击的登录会话期间提高密钥注册的安全性，并鼓励身份验证者向依赖方发送识别信息。

默认情况下，Domino 将要求验证者在密钥注册期间提供“直接”证明声明，以便填充 passkey.nsf 中的“验证者名称”字段。这可能会导致某些浏览器/平台组合要求用户允许提供可能损害用户隐私的信息，并可能导致隐身浏览器窗口中的密钥注册失败。Domino 14.0 能够验证“None”和“Self”证明，并将在收到这些类型后执行此操作。其他证明类型需要外部元数据来验证，并且不会被验证。

如果在Domino 服务器的notes.ini 中设置PASSKEY_REQUEST_DIRECT_ATTSTMT=0 ，则Domino 将请求“none”证明类型。这将导致大多数身份验证器注册全零的 AAGUID，这将对应于 passkey.nsf 中的空白“身份验证器名称”字段。

删除密钥注册限制

每个用户通常仅限于为每个依赖方的每个验证器注册一个密钥，以防止混淆。如果您希望删除该限制（可能是出于测试目的），请在服务器的 Notes.ini 中设置PASSKEY_ALLOW_REPEATED_REGISTRATION=1 。

要求用户验证

身份验证器在使用密钥之前始终会检查用户是否存在。默认情况下，如果可以，身份验证器将请求用户验证，但如果不能，则不会要求用户验证。例如，一些较旧的 Yubikey 设备只有一个按钮可以按下来表示用户存在，但缺少指纹读取器或 PIN 来使用该设备验证用户的身份。类似地，当笔记本电脑盖关闭且指纹读取器当前未激活时，某些笔记本电脑将允许密码认证。管理员可以通过在 Domino 服务器的 notes.ini 中设置PASSKEY_REQUIRE_USER_VERIFICATION=1来要求用户验证。这可能会对使用缺乏生物识别技术且未配置 PIN 的 FIDO2 设备的用户以及使用封闭式“对接”笔记本电脑的用户产生不利影响，但可用于严格执行多因素身份验证。