双因素验证

为了增强用户登录的安全性,AD360支持双因素身份验证。启用后,AD360将要求用户在每次登录时除Active Directory凭据外还使用以下一种身份验证机制进行身份验证。

设置双因素身份验证

  • 以管理员身份登录到AD360。
  • 导航到管理员登录设置。
  • 点击``双重身份验证''选项卡。
  • 将双因素身份验证开关切换到ON位置。

    Two-factor Authentication switch to the ON position

  • 从提供的列表中选择适合您的身份验证方法。

    Two-factor Authentication list provided

    注意: 

    • 如果启用了多个身份验证选项,则在登录时将要求用户选择一个身份验证选项。
    • 输入所有字段的详细信息,以确保配置了选择的身份验证选项。单击此处获取步骤。
  • 点击保存设置。

电子邮件验证

选择此选项后,AD360会通过电子邮件将验证码发送到用户的电子邮件地址中。 用户必须输入验证码才能成功登录。

配置步骤:

  • 如果尚未配置邮件服务器设置,请进行配置。
  • 输入电子邮件的主题。
  • 在提供的框中输入消息。
  • 根据您的要求设置优先级。
  • 单击底部的``宏''链接以将其插入电子邮件中。
  • 完成后,点击保存设置.

    Two-factor Authentication email verification

启用后,将要求用户在登录期间输入其电子邮件地址来注册双因素身份验证。

短信验证

选择此选项后,AD360会通过短信将验证码发送到用户的手机上。用户必须输入验证码才能成功登录。

配置步骤如下:

  • 如果尚未配置,请配置SMS服务器设置。
  • 在提供的框中输入消息。
  • 点击底部的宏链接以将其插入短信中。
  • 完成后,点击 保存

    Two-factor Authentication sms verification

启用后,将要求用户通过在登录时输入手机号码来注册双因素身份验证。 

Google身份验证器

Google身份验证器为重置密码/解锁帐户流程增加了一层保护。 启用后,将要求用户输入由Google Authenticator应用生成的六位数安全代码以进行身份验证。

配置步骤如下:

  • 只需点击启用Google身份验证器
  • 点击保存设置

启用后,用户可以使用Google Authenticator应用程序进行双因素身份验证。

RSA SecurID

RSA SecurID是一种为用户对网络资源执行双因素身份验证而开发的机制。用户可以使用RSA SecurID移动应用程序生成的安全代码,硬件令牌或通过邮件或SMS收到的令牌登录AD360。

配置步骤如下:

  • 登录到您的RSA管理控制台 (e.g., https://ad360-rsa.testdomain.com/sc).
  • 导航到应用程序。 在``身份验证代理''下,单击``添加''。
  • 将AD360服务器添加为身份验证代理,然后单击保存。
  • 进入访问。 在``身份验证代理''下,单击``生成配置文件''。
  • 下载AM_Config.zip(身份验证管理器配置)。
  • 从ZIP文件中提取sdconf.rec。
  • 在AD360中,点击“ RSA SecurID”配置,单击“浏览”,然后选择sdconf.rec文件。
  • 点击保存设置。

    Two-factor Authentication RSA verification

Duo Security

Duo Security是两步验证服务,可在访问应用程序时提供额外的安全性。 用户可以使用Duo移动应用生成的六位数安全代码进行推送通知来登录AD360。

配置步骤如下:

  • 登录您的Duo Security账号 (e.g., https://admin-325d33c0.duosecurity.com) or Sign up for a new one and login.
  • 转到应用程序。点击保护应用程序。
  • 搜索Web SDK。单击保护该应用程序。
  • 集成密钥,将秘密密钥和API主机名复制到AD360。
  • 点击保存设置。.

    Duo Security Configuration

注意:请确保选择在Duo Security中使用的确切用户名模式。

注意::如果使用的是Internet Explorer的旧版本,请添加API主机名(e.g., https://api-325d33c0.duosecurity.com) 和管理控制台 (e.g., https://admin-325d33c0.duosecurity.com) 作为受信任的站点或Intranet站点。

RADIUS认证

远程身份验证拨入用户服务(RADIUS)是行业标准的客户端/服务器身份验证协议,可通过防止网络受到未经授权的访问来增强安全性。

只需两个简单的步骤即可为AD360配置基于RADIUS的双因素身份验证。

配置步骤如下:

步骤1:将RADIUS与AD360集成

  • 登录RADIUS服务器。
  • 导航到clients.conf文件(/etc/raddb/clients.conf)。
  • 从client.conf文件中添加以下代码段。

    client AD360ServerName
    {
    ipaddr = xxx.xx.x.xxx
    secret = <secretCode>
    nastype = other
    }

  • 重新启动RADIUS服务器。

步骤2:为AD360配置RADIUS

  • 选择RADIUS身份验证选项。
  • 输入IP地址或RADIUS服务器的名称。
  • 输入用于RADIUS身份验证的端口号。
  • 从下拉列表中选择用于RADIUS身份验证的协议。
  • 提供添加到RADIUS服务器中client.conf文件中的安全密钥。
  • 设置RADIUS用户名模式。
  • 设置认证请求超时时间。
  • 点击保存设置。

    RADIUS Configuration

注意::用户名模式区分大小写。 请确保选择在RADIUS服务器中使用的正确模式(大写或小写)。

备份验证码

备用验证码可让用户在无法访问手机或遇到第二种身份验证方法之一的问题时使用。 启用后,将总共生成五个代码。曾经使用过的代码将变得过时,无法再次使用。用户还可以选择生成新代码。

启用备份验证码

  • 要启用备份验证码,请对照备份验证码进行检查。

    Enabling backup verification code

注册备用验证码

  • 启用后,将在登录AD360时通知用户配置其代码。 单击立即配置后,它们将被带到双因素身份验证设置页面。

    Registering for backup verification code

  • 用户需要单击“管理备份验证码”链接以查看代码。

    Registering for backup verification code

  • 用户还可以将代码下载为文本文件,进行打印,将其发送到个人电子邮件中或生成新代码。

    manage-backup-verification-codes

使用备用验证码登录

  • 要在登录期间使用备用验证码,用户需要单击双因素身份验证页面中的使用备用验证码链接。

    use-backup-verification-codes

  • 在备份验证码页面中,他们需要输入其备份验证码之一,然后单击“验证码”进行登录。

    backup-verification-code

管理用户以进行双因素身份验证

作为管理员,您可以使用``管理用户''选项查看用户注册了哪种身份验证方法并删除用户的双因素身份验证注册。

因此,请按照以下步骤操作:

  • 在``双重身份验证''选项卡下,单击``注册用户''。
  • 在“已注册的TFA用户”弹出窗口中,您可以查看双因素身份验证中已注册用户列表以及他们选择的身份验证方法。
  • 要删除用户,请选择该用户,然后单击“删除”图标。

个性化域用户的双重身份验证方法

注册了双重身份验证的域用户可以按照以下步骤修改其首选身份验证方法并管理受信任的浏览器:

  • 转到左上角的我的帐户个人资料图标。
  • 选择``双因素身份验证''选项。

    Two Factor Authentication

  • 要修改身份验证模式,请单击“修改身份验证模式”。
  • 要管理受信任的浏览器,请单击“管理受信任的浏览器”。