双重身份验证

所需角色： SDAdmin（适用于单实例设置）和 SDOrgAdmin（适用于多实例设置）。

双重身份验证通过在密码之外强制要求额外的身份验证方式来提供额外一层安全保护。

在 ServiceDesk Plus 中，可在管理 > 常规设置 > 双重身份验证 > 配置（适用于单实例设置）或 ESM 目录 > 双重身份验证 > 配置（适用于多实例设置）下，为用户登录和管理员配置启用双重身份验证。

支持的附加身份验证模式

电子邮件验证

用户必须使用发送到其电子邮件的验证码来完成身份验证。电子邮件验证模板可自定义。在邮件正文中，您可以使用 $secretCode，它会在每次向用户发送邮件时被替换为唯一代码。

要使电子邮件验证正常工作，必须先配置发件邮件服务器。了解更多。

Google Authenticator

用户必须使用由 Google Authenticator 应用或任何 TOTP 身份验证器应用（例如 Microsoft Authenticator 或 Duo Mobile 等）生成的基于时间的一次性密码（TOTP）来验证身份。

用于用户登录的双重身份验证

启用此选项后，系统会在用户登录期间提示其进行身份验证。

要为用户登录启用双重身份验证，请先选择首选的身份验证方法。

您可以为特定用户或用户类型启用 TFA。将鼠标悬停在条件字段上，然后单击编辑以可编辑格式打开这些字段。

从可用选项中选择 TFA 条件：用户类型或用户。
对于用户类型，您可以为所有用户、仅技术人员或仅请求者启用 TFA。
若要为特定用户配置 TFA，请从组合框中选择用户，或单击在弹出窗口中查看所有用户并进行选择。
使用图标管理多个条件。
添加多个条件时，可根据需要在 AND 和 OR 运算符之间切换。
最后，单击保存以保存登录规则，或单击清除规则并保存将配置重置为默认值。

提示：如果您在 ServiceDesk Plus 前使用负载均衡器或反向代理，请确保在请求标头中转发原始客户端 IP 地址。这可确保设备注册准确无误。如果负载均衡器传输的是其自身 IP 地址而不是客户端 IP，则所有传入的注册请求都会显示为来自单一来源。这可能触发限流限制，并导致各终端的注册失败。
为防止这种情况，请将您的负载均衡器或反向代理配置为在相应标头中保留并转发实际客户端 IP 地址。

启用双重身份验证后，用户必须在首次登录时完成注册。了解更多。

用于用户登录的备用代码

备用代码仅可用于用户登录。启用备用验证码后，用户可以查看、下载或生成可作为任何身份验证方法替代方案使用的代码。了解更多。

用于管理员配置的双重身份验证

启用此选项后，管理员在修改管理下的设置时，需要进行身份验证。

可以为以下管理员配置启用双重身份验证：

常规和高级安全设置
安全设置下的密码策略
页面脚本/请求字段和表单规则
Webhook
添加和编辑自定义函数
解密集成密钥
高级门户设置

要为管理员配置启用双重身份验证，请先选择首选的身份验证方法。

启用此选项后，管理员必须在首次登录时注册双重身份验证。了解更多。

启用 TFA 信任 可设置一个时间段，在此期间管理员无需重新验证即可修改设置。

管理已注册用户

您可以在管理 > 常规设置 > 双重身份验证 > 已注册用户（适用于单实例设置）或 ESM 目录 > 双重身份验证 > 已注册用户（适用于多实例设置）下管理已注册双重身份验证的用户。

在这里，您可以查看用户名、域名和身份验证类型等详细信息。此外，您还可以选择一个或多个用户并单击删除来删除用户注册信息。