双因素认证

最后更新于:

概述

双因素认证(2FA)通过要求用户在密码之外使用第二种验证方式来验证身份,为登录安全增添额外保障。您可选择多种认证方式,包括电子邮件、短信、验证器应用、RSA SecurID、Duo Security或备用代码。至少需启用一种方式才能实现2FA功能。

双因素认证

为增强用户登录安全性,本产品支持双因素认证。双因素认证(2FA)要求用户提供两种不同类型的验证因素来确认身份。即使密码被盗,该机制也能确保登录者确为本人。

默认情况下,此设置及其下属方法均处于禁用状态。

Two-factor authentication
图1:通过设置选项卡配置双因素认证登录设置

需启用上图所示的开关按钮,方可配置双因素认证设置。此外,必须启用具体认证方法才能访问其对应配置项。

Two-factor authentication
图2:通过设置选项卡启用双因素身份验证登录设置
注意
  • 您必须至少配置一种验证模式才能成功启用双因素验证。
  • 若启用多种验证选项,用户登录时将被要求选择其中一种。

启用后,用户每次登录时除需提供Active Directory凭据外,还须通过以下任一认证机制进行身份验证。点击箭头图标可展开各认证模式的配置字段。以下是该登录设置下各类认证方法的详细指南。

电子邮件验证

选择此选项时,系统将向用户邮箱发送验证码。用户需输入验证码才能成功登录。

Two-factor authentication
图3:电子邮件验证双因素认证登录设置
  • 主题:输入电子邮件主题
  • 邮件正文: 在文本框中输入 邮件正文。
  • 点击底部宏链接即可在邮件正文中插入宏。用户可通过现有宏按需修改邮件正文与主题。邮件正文必须包含%confirmCode%宏。
    Two-factor authentication
  • 完成必要配置后,点击保存

短信验证

选择此选项时,系统将通过短信向用户手机号码发送验证码。用户需输入验证码才能成功登录。

Two-factor authentication
图4:短信验证双因素认证登录设置
  • 在指定框中输入消息
  • 点击底部的链接将其插入短信中。
  • 完成配置后,点击保存

启用后,用户登录时将被要求输入手机号码以注册双因素认证。

Two-factor authentication

Google Authenticator

Google Authenticator是一款生成TOTP(基于时间的一次性密码)的移动应用,用于实现双因素认证(2FA)。该功能通过增加登录时的二次验证步骤提升安全性。启用后,用户需输入Google Authenticator应用生成的六位安全码进行身份验证。

Two-factor authentication
图5:Google Authenticator双重验证登录设置
  • 直接点击启用Google Authenticator。
  • 点击保存

成功启用后,用户可在登录时通过Google Authenticator应用自行注册双重验证。

  • 输入密码并登录后,系统将提示设置Google Authenticator。
  • 此时将显示二维码,可通过Google Authenticator应用进行扫描。
    Two-factor authentication
  • 在"输入密钥"框中输入Google Authenticator应用生成的6位时间验证码。
  • 勾选"信任此浏览器"选项可免输入验证码长达180天。
  • 点击验证代码。

停用 Google Authenticator 方法

  1. 只需点击页面上的"停用Google Authenticator"按钮即可。
    Two-factor authentication
  2. 此时将弹出操作确认窗口,请点击"确定"。
    Two-factor authentication
  3. Google Authenticator现已禁用,按钮将显示立即启用的选项。

RSA SecurID

RSA SecurID是为用户访问网络资源而开发的双因素认证机制。用户可通过RSA SecurID移动应用生成的安全码、硬件令牌或通过邮件/短信接收的令牌登录产品。

前提条件

  • SDK集成要求:RSA Authentication Manager8.0及以上版本
  • REST API集成要求:RSA Authentication Manager8.2 SP1或更高版本
  • 在产品中配置RSA SecurID前,请确保已在RSA管理控制台中将产品服务器添加为身份验证代理。

将产品服务器配置为身份验证代理的步骤

  • 登录您的RSA管理控制台(例如:https://product-rsa.testdomain.com/sc)。
  • 导航至访问 > 身份验证代理 > 添加新代理
    Two-factor authentication
    图6:RSA SecurID控制台配置
  • 主机名字段中输入产品服务器主机名,然后点击解析IP
  • 点击保存将产品服务器添加为身份验证代理。
    Two-factor authentication
    图7:RSA SecurID控制台中的身份验证代理

SDK集成(传统方式)

  1. 请确保以下 JAR 文件存在于 <产品名称_安装目录>/lib 文件夹中:
    • authapi-8.6.jar
    • log4j-1.2.12rsa-1.jar
    • cryptojcommon-6.1.3.3.jar
    • JcmFIPS-6.1.3.3.jar
    • cryptojce-6.1.3.3.jar

    注意:这些文件是Java身份验证代理SDK(v8.6)的组成部分。若文件缺失,请从RSA SecurID获取最新JAR文件并放置于该目录中。

  2. 在 RSA 管理控制台中,转到访问 > 身份验证代理 > 生成配置文件
  3. 下载AM_Config.zip并解压sdconf.rec文件。
  4. 在产品控制台中导航至RSA SecurID
    Two-factor authentication
    图8:在产品控制台中配置RSA SecurID
  5. 勾选启用 RSA SecurID复选框。
  6. 在集成类型中选择SDK
  7. 点击“浏览”并上传sdconf.rec文件。
  8. 点击保存。启用后,用户登录时将被要求使用其RSA SecurID令牌密码进行身份验证。

REST API集成(推荐)

  1. 在RSA管理控制台中,导航至设置 > 系统设置 > 身份验证设置 > RSA SecurID身份验证API
  2. 复制访问 ID、访问密钥和通信端口详细信息。
  3. 在产品控制台中,导航至 RSA SecurID
    Two-factor authentication
    图9:在产品控制台中配置RSA SecurID REST API
  4. 勾选启用 RSA SecurID复选框。
  5. 在集成类型中选择REST API
  6. 配置以下字段:
    • API 主机名:RSA 身份验证管理器的主机名/IP 地址。
    • 端口:在步骤 2 中获取的通信端口号。
    • 客户端ID:产品服务器(身份验证代理)的主机名。
    • 访问密钥:步骤2中获取的密钥。
    • 访问ID:步骤2中获取的ID。
  7. 可选勾选使用 HMAC 认证对 RSA 服务器进行安全 API 请求

    注意:启用 HMAC 之前,请确保已在 RSA 服务器上配置 HMAC 先决条件。

  8. 点击测试连接,然后保存

HMAC 先决条件

基于哈希的消息认证码(HMAC)确保身份验证代理与RSA SecurID身份验证API之间交换的身份验证请求的完整性。

  1. 通过SSH登录设备,或通过VMware vSphere客户端/Hyper-V管理器访问。
  2. 要启用请求的 HMAC 验证,请运行:

    ./rsautil store -a update_config

    auth_manager.rest_service.authorization.mode 1 GLOBAL 501

  3. 要禁用 HMAC 并仅使用 RSA SecurID 身份验证 API 的访问密钥进行身份验证,请运行:

    ./rsautil store -a update_config

    auth_manager.rest_service.authorization.mode 0 GLOBAL 501

Duo Security

若贵组织采用 Duo Security 进行双因素身份验证,可将其与本产品集成以保障登录安全。用户可通过推送通知或输入 Duo 移动应用生成的六位安全码来批准或拒绝产品登录请求。通过 Duo Security 进行身份验证可采用两种配置方式:Web v2 SDK 和 Web v4 SDK。

  • Web v2 SDK:采用传统 Duo 提示界面,该界面将通过产品内的 iframe 显示。
  • Web v4 SDK:采用基于OIDC的Duo通用提示,通过重新设计的UI将用户重定向至Duo进行身份验证。
注意
  • Duo Security 已逐步淘汰 Web v2 SDK,建议切换至 Web v4 SDK,该版本新增了通用提示功能。
  • 请启用HTTPS以确保Web v4 SDK正常运行。

前提条件

若用户使用旧版Internet Explorer浏览器,请在用户设备中将API主机名及管理控制台(例如:https://admin-325d33c0.duosecurity.com)添加为受信任站点或内网站点。

注意:Duo Security 已逐步淘汰 Web v2 SDK,建议切换至支持全新通用提示功能的 Web v4 SDK。

Web v4 SDK 配置步骤

  1. 登录您的 Duo Security 账户(例如https://admin-325d33c0.duosecurity.com),或注册新账户并登录。
  2. 前往应用程序页面,点击保护应用程序。
    Two-factor authentication
    图10:从 Duo Security 账户保护应用程序
  3. 搜索Web SDK并点击保护
    Two-factor authentication
    图11:Duo Security账户中的Web SDK
  4. 复制客户端ID、 客户端密钥API主机名值。
    Two-factor authentication
    图12:Duo Security账户中的Web SDK配置
  5. 在产品控制台中,导航至集成类型为 Web v4 SDK 的 Duo Security 模块。
    Two-factor authentication
    图13:在产品控制台中配置Duo Security双因素认证
  6. 在相应字段中粘贴从Duo 管理面板获取的客户端 ID、客户端密钥API 主机名
  7. 点击保存

从 Web v2 SDK 迁移至 Web v4 SDK

  1. 在 Duo 管理面板中,选择先前为该产品配置的Web SDK应用程序,复制集成密钥密钥和 API 主机名值
  2. 向下滚动 至通用提示部分。此时将显示应用更新就绪提示,表明该产品现可激活通用提示功能。
    Two-factor authentication
    图14:Duo Security控制台显示应用更新已就绪,可激活通用提示功能
  3. 在产品中的Web v4 SDK字段内,将集成密钥密钥和 API主机名值分别粘贴至客户端ID客户端密钥和 API主机名字段
  4. 当产品完成 Web v4 SDK 配置且用户通过无框架 Duo v4 SDK 完成身份验证后,Duo 管理面板中的"应用更新就绪"消息将更新为"新提示就绪"。
    Two-factor authentication
    图15:从Duo Security控制台为产品控制台激活通用提示
  5. 选择"显示新通用提示"以激活该产品的通用提示功能。

Microsoft Authenticator

Microsoft Authenticator是一款用于生成双因素认证(2FA)一次性密码(TOTP)的移动应用,不仅能增强安全性,在忘记密码时也十分实用。其工作原理与Google Authenticator类似。此配置在离线无网络连接场景下同样有效。

Two-factor authentication
图16:双因素认证中的Microsoft身份验证器
  • 只需点击"启用Microsoft Authenticator"按钮
  • 启用后,用户可在登录时通过Microsoft Authenticator应用自行注册双因素认证。
  • 输入密码并登录后,系统将提示设置Microsoft Authenticator。
  • 此时将显示二维码,可通过Microsoft Authenticator应用进行扫描。
    Two-factor authentication
  • 请将Microsoft Authenticator应用生成的6位时间验证码输入至"输入密钥"框。
  • 可勾选"信任此浏览器"选项,此后180天内无需再次输入验证码。
  • 点击验证代码

停用 Microsoft Authenticator 方法

  1. 只需点击可用的“禁用Microsoft Authenticator”按钮即可。
    Two-factor authentication
  2. 出现一个确认操作的弹出框。点击确定
    Two-factor authentication
  3. Microsoft Authenticator现已禁用,按钮显示立即启用该功能的选项。

自定义TOTP验证器

除上述验证器外,您还可添加自定义TOTP(基于时间的一次性密码)验证器作为身份验证手段,前提是应用程序满足以下条件:

Two-factor authentication
图17:双因素认证中的自定义TOTP验证器
  1. 请填写以下字段值:
    • 验证器名称:输入验证器应用程序名称。
    • 验证码长度:设定验证码长度限制。应用程序可生成不同长度的验证码——6、7或8位字符。
    • 验证码有效期:设置验证码过期时间(单位:秒)。
    • 验证码哈希算法:选择验证码的哈希算法。应用程序支持产品使用的任何密码哈希算法——SHA1、SHA256和SHA512。
    • 账户名称格式:该格式决定用户名在TOTP应用配置及密码生成时的显示方式。支持的图片格式为PNG、JPG、JPEG、BMP和GIF。请确保徽标尺寸不超过45x45像素,且文件大小小于2MB。
  2. 点击重置按钮可重置并重新配置所有上述字段。
  3. 填写字段值后点击"保存"。

备用验证码

备份验证码可在用户无法使用手机或双重验证方法出现故障时提供登录支持。启用后将生成五组验证码,已使用的验证码将失效且不可重复使用。用户也可选择重新生成验证码。

启用备用验证码

启用备份验证码只需勾选"备份验证码"复选框。

Two-factor authentication
图18:启用双因素认证中的备用验证码

启用后效果

  • 启用后,用户登录产品控制台时将收到配置验证码的提示。点击"立即配置"后,系统将跳转至双因素认证设置页面。
    Two-factor authentication
  • 用户需点击"管理备份验证码"链接查看验证码
    Two-factor authentication
  • 用户还可选择:下载代码文本文件、打印代码、将代码发送至个人邮箱,或重新生成新代码。
    Two-factor authentication

使用备份验证码登录

  • 登录时使用备份验证码时,用户需在双重验证页面点击"使用备份验证码"链接。
    Two-factor authentication
  • 在备用验证码页面中,用户需输入其中一个备用验证码并点击"验证代码"完成登录
    Two-factor authentication

延伸阅读

本文档阐述了如何启用并配置多种双因素认证方式,包括电子邮件、短信、身份验证器应用、RSA SecurID、Duo Security、自定义TOTP及备份验证码。欲深入了解,请参阅以下帮助文档: