概述
多因素认证(MFA)是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。
启用MFA后,用户登录IDaaS时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其MFA设备的动态验证码(第二安全要素),双因素的安全认证将为您的账户提供更高的安全保护。
开启全局MFA
管理员用户进入IDaaS > 项目 > 认证 > 多因素认证,点击编辑。
管理员用户可以选择短信验证码、软件动态码两种二次认证方式,勾选相应的二次认证方式,点击保存,即可开启全局MFA。
温馨提示:
1、开启保存MFA状态7天,普通用户在首次登录时完成MFA验证后,可以勾选“记住这台设备,7天内不再询问”,勾选后,该用户7天内的下次登录将不需要进行MFA验证。
2、全局MFA只支持管理员用户开启、关闭或修改。管理员用户开启全局MFA后,可为当前项目空间下所有普通用户开启MFA,且普通用户侧无法修改MFA状态。管理员用户不开启全局MFA时,默认允许当前项目空间下的普通用户自行管理MFA。
解绑MFA设备
在普通用户遗失或损坏MFA设备时,管理员用户可主动帮助普通用户解绑MFA设备。
- 点击请选择用户,选择当前项目空间下的普通用户。
- 若所选择普通用户未绑定MFA设备,则显示“当前用户未绑定设备”。
- 若所选择普通用户已绑定MFA设备,则显示设备名称,点击解绑并确认,即可为当前普通用户解绑MFA设备。
温馨提示:
管理员用户为当前项目空间的普通用户解绑MFA设备后,普通用户再次登录若需要进行二次认证时,则需要重新绑定设备。
普通用户登录二次认证
- 管理员用户开启全局MFA后,普通用户在登录时,首先需要输入用户名和密码。
- 用户名和密码验证通过后,进入二次认证页面。
- 普通用户可以在管理员用户所配置的全局MFA认证方式中,选择其中一种进行二次认证。
- 选择短信验证码进行二次认证,点击发送验证码,则系统会发送短信验证码至当前用户绑定的手机号。
- 选择动态软件码进行二次认证,若当前用户未绑定MFA设备,则首先需要绑定MFA设备,然后进行动态软件码二次认证;若当前用户已绑定MFA设备,则直接进行动态软件码二次认证。
- 二次认证通过后,登录成功。
