如何全局开启MFA
多因素身份验证 (MFA) 是一种身份验证方法,它要求用户提供两个或多个验证因素才能访问应用程序、在线帐户等资源。MFA是 XAuth 策略的核心组件。MFA 不仅要求提供用户名和密码,还需要一个或多个额外的验证因素,从而降低用户账号资产的风险。
如何全局开启MFA
MFA开启的步骤:
使用管理员账号等登录 XAuth 进入管理员面板
在 安全-多因素策略-多因素认证方式 选项卡中 开启MFA 验证
在 XAuth 中一共有三种MFA认证方式分别为
云盾OTP认证
云盾OTP是一款在微信小程序平台运行的动态口令工具。 用户不需要安装额外的客户端软件,只需在微信小程序中搜索“云盾OTP”即可。 云盾OTP小程序基于时间并通过安全算法计算生成一次性的动态口令,完全可以离线使用。
Google Authenticator
Google Authenticator是谷歌推出的动态口令工具。 用户通过Google Authenticator客户端程序,获取生成的一次性的动态口令。
短信验证码认证
启用短信验证码认证前,请确保用户的手机号都正确。 启用短信验证码认证后,用户在登录时可以选择使用手机号+验证码的方式进行多因素身份认证。
设置MFA的登记策略
在管理员控制面板中
安全-多因素策略-多因素策略选项卡 中点击 添加规则
在弹出的添加规则窗口中
输入规则名: ALL
如果用户位置:选择 所有位置
规则执行动作:选择 登记多因素认证方式 并选 首次登录时登记
如下图所示
下拉 并选择 你需要的MFA 方式
这里以Google Authenticator 为例 点击按钮并选择必须
点击保存 完成此规则的添加
设置MFA的认证策略
使用管理员账号等登录 XAuth 进入管理员面板
安全-系统登录策略-点击 添加规则
输入规则名: ALL
如果用户位置:选择 所有位置
规则执行动作:选择 允许登录
并且勾选 用户必须进行多因素认证 并且复选你需要的验证需求
- 用户每次从新设备登录时进行多因素认证
- 每次登录时都进行多因素认证
设置 Session 有效期 一般推荐设置为 8
点击保存完成管理员设置。
用户进行MFA登记
接下来 使用员工账号 登录 XAuth 完成用户的MFA登记。
登录 XAuth
即可 进入设置多因素认证引导页面 如下图所示
点击 google Authenticator 绑定 按钮 进入 Google Authenticator 扫码页面
使用 Google Authenticator 进行扫码 点击 下一步
输入 Google Authenticator 上显示的验证码并点击 提交 返回上层页面
点击完成 至此 用户的MFA登记已经完成。
效果预览
员工使用账号密码进行登录时 点击 登录 将执行 多因素验证策略
员工需要进行多因素认证才可登录系统。
输入 Google Authenticator的验证码,点击提交
登录成功 进入 Dashboard
