双因素认证

双因素认证为产品增加了一层额外的安全保障。当您尝试访问 RecoveryManager Plus 时，只有完成双因素认证后登录过程才算完成。具有 管理员 角色的用户可以跳过双因素认证。

启用双因素认证的步骤，

1. 以管理员身份登录 RecoveryManager Plus。
2. 导航至 委派 选项卡 → 配置 → 登录设置 → 双因素认证.
3. 切换 双因素认证旁的按钮。RecoveryManager Plus 提供以下次级认证方式。
• 邮件验证
• Google Authenticator
• Duo Security
• RADIUS 认证
• Microsoft Authenticator

点击任一方式的名称，了解如何设置该方法作为第二认证因素。

邮件验证

选择此选项时，RecoveryManager Plus 会向用户的电子邮件地址发送验证码。用户必须输入验证码才能成功登录。

前提条件：要使用此方法作为次级认证方式，必须已在 RecoveryManager Plus 中配置邮件服务器。如果尚未配置，请按照此处列出的步骤配置邮件服务器。

• 勾选 启用邮件验证.
• 提供自定义的主题行和消息内容。您可以使用宏个性化消息。若要查看可用宏列表，请点击消息文本框底部的宏链接。
• 点击 保存.
• 用户下一次尝试登录 RecoveryManager Plus 时，在使用用户名和密码成功认证后，将提示添加 邮件验证 作为验证方式。选择 邮件验证 并点击 下一步.
• 输入接收验证码的电子邮件地址，然后点击 发送验证码.
• 从邮件中复制验证码，输入到提供的文本框中。
• 勾选 信任此浏览器 如果您不希望每次登录都进行验证，可以选择此项。系统仅在每 180 天内要求验证一次。

注意：如果多名用户使用同一台机器，请勿使用此选项。

• 点击 验证验证码.

Google Authenticator

选择此选项时，用户需要输入由 Google Authenticator 应用生成的六位数安全代码进行身份验证。

• 点击 启用 Google Authenticator 按钮。
• 用户下一次尝试登录 RecoveryManager Plus 时，在使用用户名和密码认证成功后，将提示添加 Google Authenticator 作为验证方式。选择 Google Authenticator 并点击 下一步.
• 在手机上安装并打开 Google Authenticator。
• 在 Google Authenticator 应用中导航到扫描二维码，扫描 RecoveryManager Plus 登录界面上的二维码。复制认证器应用显示的代码并输入登录页面的相应文本框中。
注意：
• 如果无法查看二维码，请点击 点击这里 二维码下方的链接。
• 在 Google Authenticator 应用中输入您的账户名。
• 输入屏幕上显示的密钥。
• 选择 基于时间 作为算法类型。
• 复制认证器应用显示的代码，输入至密钥提供的文本框中。
• 勾选 信任此浏览器 如果您不希望每次登录都进行验证，可以选择此项。系统仅在每 180 天内要求验证一次。

注意：如果多名用户使用同一台机器，请勿使用此选项。

• 点击 验证验证码.

Duo Security

如果您的组织使用 Duo Security 进行双因素认证，可与 RecoveryManager Plus 集成以保护登录。用户登录 RecoveryManager Plus 时需批准推送通知或输入 Duo 移动应用生成的六位数安全代码。Duo Security 认证可通过两种方式配置：Web v2 SDK 和 Web v4 SDK。

Web v2 SDK 使用传统 Duo 提示，将以内嵌框架形式显示在 RecoveryManager Plus 中，而 Web v4 SDK 使用 Duo 基于 OIDC 的通用提示，用户界面经过重新设计，重定向用户至 Duo 进行认证。

注意： Duo Security 已淘汰 Web v2 SDK。建议使用 Web v4 SDK。

前提条件

• 将 API 主机名和管理控制台（例如， https://admin-325d33c0.duosecurity.com ）添加为用户机器中的受信任站点或内网站点，如果用户使用的是旧版本 Internet Explorer。
• 请按照以下 步骤 在 Duo 管理面板中将传统提示的 Web v2 SDK 迁移到使用新通用提示的 Web v4 SDK。

Web v4 SDK 配置步骤

注意： 需要安全连接来设置 Web v4 SDK 认证。请确保已在 RecoveryManager Plus 中启用 HTTPS 连接。

1. 登录您的 Duo Security 账户（例如， https://admin325d33c0.duosecurity.com ）或 注册 新账户并登录。
2. 导航至 应用程序 左侧窗格中的部分。
3. 点击 保护应用程序 选项。
4. 搜索 Web SDK 并点击 保护.
5. 复制 客户端 ID、客户端密钥 及 API 主机名 的值。
6. 在 RecoveryManager Plus 中，导航至 委派 > 配置 > 登录设置 > 双因素认证 > Duo Security.
7. 勾选 启用 Duo Security 复选框，选择 Web v4 SDK 作为 集成类型。.
8. 粘贴 客户端 ID、客户端密钥及 API 主机名 从 Duo 管理面板获得的值到对应输入框。
9. 在 用户名模式 字段中输入与 Duo Security 中相同的用户名模式。
10. 点击 保存.

Web v2 SDK 配置步骤

1. 登录您的 Duo Security 账户（例如， https://admin325d33c0.duosecurity.com ）或 注册 新账户并登录。
2. 导航至 应用程序 左侧窗格中的部分。
3. 点击 保护应用程序 选项。
4. 搜索 Web SDK 并点击 保护.
5. 复制 集成密钥、密钥及 API 主机名 值.
6. 在 RecoveryManager Plus 中，导航至 委派 > 配置 > 登录设置 > 双因素认证 > Duo Security.
7. 勾选 启用 Duo Security 复选框，选择 Web v2 SDK 作为 集成类型。.
8. 粘贴 集成密钥、密钥及 API 主机名 从 Duo 管理面板获得的值到对应输入框。
9. 在 用户名模式字段。
10. 点击 保存.

迁移到新通用提示的步骤

1. 在 Duo 管理面板中，选择先前为 RecoveryManager Plus 配置的 Web SDK 应用程序，复制 集成密钥、密钥 及 API 主机名 的值。
2. 向下滚动至 通用提示 部分。 应用更新就绪 消息将显示，表明通用提示现可为 RecoveryManager Plus 启用。



3. 在 RecoveryManager Plus 中，导航至 委派 > 配置 > 登录设置 > 双因素认证 > Duo Security.
4. 点击 Web v4 SDK 并粘贴 集成密钥、密钥及 API 主机名 值到 客户端 ID、客户端密钥及 API 主机名 字段。
5. 在 RecoveryManager Plus 配置 Web v4 SDK 并且用户通过无框架 Duo v4 SDK 认证后， 应用更新就绪 Duo 管理面板中的消息将更新为 新提示已就绪 消息将被显示。



6. 选择 显示新的 Universal Prompt 以激活 RecoveryManager Plus 的 universal prompt。

RADIUS 认证

AD360 的基于 RADIUS 的双因素认证可以分两步配置。

第一步：将 RADIUS 与 AD360 集成

1. 登录到 RADIUS 服务器。
2. 导航至 clients.conf 文件（/etc/raddb/clients.conf）。
3. 在 clients.conf 文件中添加以下代码段。
   client <RecoveryManagerPlusServerName>
   {
   ipaddr = xxx.xx.x.xxx
   secret = <secretCode>
   nastype = other
   }
4. 重启 RADIUS 服务器。

第二步：为 RADIUS 配置 RecoveryManager Plus

1. 在 RecoveryManager Plus 中，勾选 启用 RADIUS 认证.
2. 提供 服务器名称/IP 地址 以及 服务器端口 在相应字段中。
3. 从下拉框中选择 认证方案 。
4. 提供添加到 RADIUS 服务器 clients.conf 文件中的密钥。
5. 从下拉框中选择 所需的用户名模式 从可用选项中选择。
6. 为 请求超时（秒） 并点击 保存.
7. 设置限制。用户下一次尝试登录 RecoveryManager Plus 时，在使用用户名和密码成功认证后，将提示其验证 RADIUS 认证作为验证方法。选择 RADIUS 认证 并点击 下一步.
8. 输入 RADIUS 密码。
9. 勾选“信任此浏览器”，如果您不想每次登录都验证，系统将只要求您每 180 天验证一次。

注意：如果多名用户使用同一台机器，请勿使用此选项。

10. 点击 验证验证码.

Microsoft Authenticator

选中此选项后，用户在登录过程中需要输入 Microsoft Authenticator 应用生成的码。

• 点击 启用 Microsoft Authenticator.
• 用户下一次尝试登录 RecoveryManager Plus 时，在使用用户名和密码成功认证后，会提示添加 Microsoft Authenticator 作为验证方法。选择 Microsoft Authenticator 并点击 下一步.
• 在手机上安装并打开 Microsoft Authenticator。
• 登录时，导航至 扫描二维码 在 Microsoft Authenticator 应用中扫描 RecoveryManager Plus 登录界面显示的二维码。
• 输入手机 Microsoft Authenticator 应用生成的代码。
  注意：

  • 如果无法查看二维码，请点击 点击这里 二维码下方的链接。
  • 在 Microsoft Authenticator 应用中，输入您的账户名。
  • 输入屏幕上显示的密钥。
  • 复制验证器应用中显示的代码，并在密钥提供栏中输入同样的代码。
• 勾选 信任此浏览器 如果您不希望每次登录都进行验证，可以选择此项。系统仅在每 180 天内要求验证一次。

  注意：如果多名用户使用同一台机器，请勿使用此选项。

• 点击 验证验证码.

备份验证码

要启用备份验证码，

1. 勾选 备份验证码.
2. 启用后，技术员登录 RecoveryManager Plus 时会收到配置代码的通知。点击 立即配置，将跳转到双因素认证设置页面。
3. 点击 管理备份验证码 链接查看验证码。
4. 技术员还可以下载验证码文本文件，打印，发送到个人邮箱，或生成新代码。

使用备份验证码登录

如果技术员无法使用手机或选定的认证因素，可以按照以下步骤使用备份代码。

1. 在第二因素认证页面，点击 使用备份验证码 链接。
2. 在备份验证码页面，输入一个备份验证码并点击 验证验证码 登录。

认证成功后，技术员将登录系统。

管理已注册双因素认证的用户

作为管理员，您可以查看其他技术员已注册的认证方式，并通过 已注册用户 选项。

移除用户的双因素认证注册。

1. 执行以下步骤： 在 双因素认证 已注册用户.
2. 标签下，点击 TFA已注册用户 弹窗中可查看已注册双因素认证的用户列表及其选择的认证方式。
3. 若要移除用户，选择该用户并点击 图标。

个人化双因素认证设置

已注册双因素认证的技术员可按照以下步骤修改首选认证方法并管理可信浏览器：

1. 登录 RecoveryManager Plus。
2. 点击 点击右上角的图标并选择 个性化.
3. 选择 双因素认证 左侧面板中。
4. 若要修改认证模式，点击 修改认证模式 并进行必要的更改。
5. 若要管理可信浏览器，点击 管理可信浏览器 并进行必要的更改。