可選的密鑰配置

停用上次登入時間更新

預設情況下，在使用該憑證成功進行身份驗證後，Domino 將始終在 passkey.nsf 中更新該憑證的上次登入時間。這可能會對流量大的伺服器的效能產生負面影響。在伺服器的notes.ini 中設定PASSKEY_ALWAYS_UPDATE_LAST_LOGIN=0將停用此功能，並導致Domino 僅在身份驗證過程中身份驗證器發送非零計數器時更新憑證的上次登入時間。這將提高效能，但會導致 passkey.nsf 中的上次登入時間不一致。

禁用證明請求

證明聲明可以在主動受到攻擊的登入工作階段期間提高金鑰註冊的安全性，並鼓勵身分驗證者向依賴方發送識別資訊。

預設情況下，Domino 將要求驗證者在金鑰註冊期間提供「直接」證明聲明，以便填入 passkey.nsf 中的「驗證者名稱」欄位。這可能會導致某些瀏覽器/平台組合要求用戶允許提供可能損害用戶隱私的訊息，並可能導致隱身瀏覽器視窗中的金鑰註冊失敗。Domino 14.0 能夠驗證「None」和「Self」證明，並將在收到這些類型後執行此操作。其他證明類型需要外部元資料來驗證，並且不會被驗證。

如果在Domino 伺服器的notes.ini 中設定PASSKEY_REQUEST_DIRECT_ATTSTMT=0 ，則Domino 將要求「none」證明類型。這將導致大多數身份驗證器註冊全零的 AAGUID，這將對應於 passkey.nsf 中的空白「身份驗證器名稱」欄位。

刪除密鑰註冊限制

每個使用者通常僅限於為每個依賴方的每個驗證器註冊一個金鑰，以防止混淆。如果您希望刪除該限制（可能是出於測試目的），請在伺服器的 Notes.ini 中設定PASSKEY_ALLOW_REPEATED_REGISTRATION=1 。

需要用戶驗證

在使用金鑰之前，身份驗證器將始終檢查使用者是否存在。預設情況下，身份驗證器將請求使用者驗證（如果可以），但如果不能，則不會要求使用者驗證。例如，一些較舊的 Yubikey 裝置只有按下按鈕來表示使用者存在，但缺少指紋辨識器或 PIN 碼來驗證使用者與裝置的身份。同樣，當筆記型電腦蓋子關閉且指紋辨識器目前未處於活動狀態時，某些筆記型電腦將允許密碼身份驗證。管理員可以透過在Domino 伺服器的notes.ini 中設定PASSKEY_REQUIRE_USER_VERIFICATION=1來要求使用者驗證。這可能會對使用缺乏生物識別功能且配置無 PIN 的 FIDO2 設備的用戶以及擁有封閉式和「對接」筆記型電腦但可用於嚴格執行多因素身份驗證的用戶產生不利影響。