双因素认证

    通过双因素认证(2FA),您可为ADManager Plus增添额外的安全防护层。当用户尝试访问ADManager Plus界面时,必须完成双因素认证才能继续操作。 ADManager Plus内置管理员是唯一可跳过2FA验证的用户。系统支持通过Duo Security、Google Authenticator等认证服务,或电子邮件一次性密码等方式实现双重验证。

    在ADManager Plus中配置双重认证的步骤

    1. 导航至“委派”选项卡
    2. 在左侧窗格的"配置"下,点击"登录设置"
    3. 登录设置页面,切换至双因素认证选项卡。
    4. 开启双因素认证按钮即可启用2FA功能。
    5. 从以下身份验证服务中选择所需的双因素认证:

      Duo Security

      Web v4 SDKWeb v2 SDK 中,通过 Duo Security 进行身份验证可通过两种方式配置。

      配置 Web v4 SDK 的步骤

      注意:设置 Web v4 SDK 身份验证需要安全连接。请确保已启用 HTTPS 连接。

      1. 登录您的 Duo Security 账户(例如https://admin-domain.duosecurity.com)或注册新账户并登录。
      2. 进入应用程序页面,点击保护应用程序
      3. 搜索Web SDK并点击保护
      4. 复制客户端ID、客户端密钥API主机名值。
      5. 进入 ADManager Plus 控制台并展开Duo Security
      6. 勾选启用 Duo Security,并选择Web v4 SDK作为集成类型
      7. 将从 Duo 管理面板获取的客户端 ID、客户端密钥和 API 主机名粘贴至对应字段。
      8. 用户名模式字段中输入与 Duo Security 中相同的用户名模式。
      9. 点击保存

      配置 Web v2 SDK 的步骤

      注意:Duo Security 已逐步淘汰 Web v2 SDK,建议切换至支持全新通用提示功能的 Web v4 SDK。

      1. 登录您的 Duo Security 账户(例如:https://admin-domain.duosecurity.com)或注册新账户并登录。
      2. 进入应用程序页面,点击保护应用程序
      3. 搜索Web SDK并点击保护
      4. 复制集成密钥、密 钥和API主机名值。
      5. 进入 ADManager Plus 控制台并展开Duo Security
      6. 勾选启用 Duo Security,并选择Web v2 SDK作为集成类型。
      7. 将从 Duo 管理面板获取的集成密钥、密钥和 API 主机名粘贴至对应字段。
      8. 用户名模式字段中输入与 Duo Security 中相同的用户名模式。
      9. 点击保存

      请在 Duo 管理面板中执行以下步骤,将使用传统提示的 Web v2 SDK 迁移至采用全新通用提示的 Web v4 SDK。

      激活 Duo 通用提示的步骤

      1. 在 Duo 管理面板中,选择先前为 ADManager Plus 配置的Web SDK应用程序,复制集成密钥、密钥和 API 主机名值。
      2. 向下滚动至通用提示部分。系统将显示应用程序更新就绪消息,表明现可为ADManager Plus激活通用提示。
      3. 转至ADManager Plus控制台,展开Duo Security模块
      4. 点击Web v4 SDK, 将集成密钥、密钥和 API 主机名值分别粘贴至客户端 ID、客户端密钥和 API 主机名字段
      5. 当 Web v4 SDK 在 ADManager Plus 中配置完成且用户通过无框架 Duo v4 SDK 完成身份验证后,Duo 管理面板中的"应用程序更新就绪"消息将替换为"新提示就绪"消息。
      6. 选择“显示新通用提示”以激活 ADManager Plus 的通用提示功能。

      Google Authenticator

      • 按照本页列出的步骤在智能手机上安装并设置 Google Authenticator。
      • 切换至 ADManager Plus 并展开Google Authenticator
      • 点击“启用Google Authenticator”按钮。
      • 登录ADManager Plus时,除用户名和密码外,还需输入智能手机上Google Authenticator应用生成的验证码。

      通过

      电子邮件

      发送一次性密码

      需配置电子邮件服务器设置,以电子邮件一次性密码(OTP)作为双重验证方法。

      • 展开"通过 电子邮件 发送一次性密码"并勾选该选项。
      • 主题消息字段中分别使用宏输入主题并起草消息。
      • 点击保存

      RSA验证器

      RSA SecurID是由EMC旗下安全部门RSA开发的双重验证机制,适用于访问网络资源的用户。 用户可通过RSA SecurID移动应用生成的安全码、硬件令牌或发送至邮箱/移动设备的令牌登录ADManager Plus。您可配置RSASecurID支持SDK集成或 REST API集成

      配置SDK集成RSA SecurID的步骤

      1. 登录RSA管理控制台(例如:https://RSA 机器名.域 DNS名称/sc)。
      2. 转到“访问”选项卡。
      3. “身份验证代理”下,点击“添加新代理”。
      4. 添加ADManager Plus 服务器作为身份验证代理,然后点击“保存”
      5. 返回访问选项卡。在身份验证代理下,点击生成配置文件
      6. 下载AM_Config.zip文件。
      7. 从压缩包中复制身份验证管理器配置文件sdconf.rec,粘贴至<安装目录>/bin目录。若存在名为securid的文件(节点密钥文件),也需一并复制粘贴。
      注意
      1. 请确保将以下JAR文件从RSA SecurID解压后放置于<ADManagerPlus_安装目录>/lib文件夹:
        • authapi.
      jar
        • Log4j.
      jar
        • certj.
      jar
        • commons-logging.
      jar
        • cyrptojce.jar
        • cryptojcommon.
      jar
        • jcmFIPS.
      jar
        • sslj.
      jar
        • xmlsec.jar
      2. 添加文件后重启ADManager Plus。

      配置RSA SecurID以集成REST API的步骤

      1. 在RSA管理控制台中,导航至设置 → 系统设置
      2. 身份验证设置下,点击RSA SecurID身份验证API
      3. 复制访问ID、访问密钥通信端口信息。
      4. 转至 ADManager Plus 控制台并展开RSA 身份验证器
      5. 勾选启用RSA身份验证器复选框。
      6. 集成类型中选择REST API
      7. API 主机名称字段中输入 RSA 身份验证管理器的主机名。
      8. 将步骤3中获取的端口号和访问密钥分别粘贴至端口访问密钥字段。
      9. 客户端ID字段中输入认证代理名称(即ADManager Plus服务器的主机名)。
      10. 勾选“使用HMAC认证对RSA服务器进行安全API请求”复选框以验证认证请求的完整性。启用HMAC认证前,请先完成HMAC认证前提条件中的步骤。
      11. 访问ID字段中输入步骤3中复制的访问ID。
      12. 点击测试连接并保存

      注意:请确保所有关联至配置认证代理(ADManager Plus服务器)的用户,均已在RSA认证管理器中注册相同用户名,并被分配SecurID令牌。

      配置ADManager Plus服务器为认证代理的步骤

      1. 登录RSA管理控制台(例如:https://RSA 机器名.域 DNS名称/sc)。
      2. 导航至访问 â†认证代理 â†添加新代理

        3. Two Factor Authentication

      3. 在主机名字段输入 ADManager Plus 服务器的主机名,点击解析 IP以建立 SecurID 安全控制台与 ADManager Plus 服务器之间的连接。
      4. 点击保存,将ADManager Plus服务器添加为身份验证代理。

        5. Two Factor Authentication

      HMAC 先决条件

      基于哈希的消息认证码(HMAC)用于验证身份验证代理与 RSA SecurID 身份验证 API 之间交换的身份验证请求。

      1. 使用安全外壳客户端登录设备,或通过 VMware vSphere Client、Hyper-V 虚拟机管理器或 Hyper-V 管理器访问虚拟机上的设备。
      2. 要通过实施 HMAC 验证身份验证请求,请输入以下命令:

        ./rsautil store –a update_config

        auth_manager.rest_service.authorization.mode 1 GLOBAL 501

      3. 若仅使用RSA SecurID身份验证API的访问密钥进行身份验证,请输入以下命令:

        ./rsautil store –a update_config

        auth_manager.rest_service.authorization.mode 0 GLOBAL 501

      Microsoft Authenticator

      • 在您的智能手机上安装并设置Microsoft Authenticator
      • 进入ADManager Plus并展开Microsoft Authenticator
      • 勾选启用 Microsoft Authenticator选项
      • 登录ADManager Plus时,除用户名和密码外,请输入智能手机上Microsoft Authenticator应用生成的验证码。

      短信验证

      若要启用短信验证作为身份验证方式,请在ADManager Plus中配置短信网关设置并执行以下步骤:

      • 展开短信验证并勾选启用短信验证
      • 消息字段中使用宏输入短信内容,然后点击保存

      手机号码注册步骤

      • 使用账户凭证登录ADManager Plus
      • 在弹出的"使用短信验证登录"页面输入手机号码并点击"发送验证码"。
      • 在相应字段中输入通过短信收到的六位数验证码。如需跳过此步骤(有效期180天),请勾选"信任此浏览器"选项。
      • 点击验证码进行验证。
    6. 要管理已注册双因素认证的用户,请点击"已注册用户"按钮。系统将显示已注册双因素认证的用户列表。如有需要,可移除已配置的双因素认证并允许用户重新配置设置。
    7. 点击“更多选项”配置以下设置:
      • 勾选“在身份验证期间启用‘信任此浏览器’选项”,即可在“信任此浏览器__天”字段指定的有效期内信任该浏览器,允许经过身份验证的技术支持人员免于二次验证直接登录ADManager Plus。
      • 勾选“为选定技术人员跳过双重验证”,并在弹出窗口中选择技术人员,允许其登录ADManager Plus时免于双重验证。

    自定义首选双重验证方式

    若需选择首选认证方式或更换当前使用的认证服务,请执行以下步骤:

    1. 导航至右上角的"我的账户"选项。
    2. 在左侧窗格中,点击"管理我的TFA设置"选项。
    3. 点击编辑按钮,从可用选项中选择您偏好的验证方式
    4. 若要将Google Authenticator或Microsoft Authenticator设为首选方式,请扫描屏幕显示的二维码,并在智能手机应用中输入生成的验证码。
    5. 点击验证按钮。
    注意:若用户首选认证服务为 Duo Security,在手机丢失或更换时,可通过在 Duo 中删除账户实现 2FA 功能的无缝延续。请遵循上述步骤,选择 Duo Security 作为首选认证方式,并重新启用 Duo Security 服务以完成初始化配置。
    下一页上一页
    版权所有 © 2025, 卓豪(中国)技术有限公司保留一切权利