配置双因素身份验证(2FA 或 MFA)

双因素身份验证(也称为 2FA 或 MFA)要求用户输入密码和临时访问码,可以为 Diligent One 实例安全性增添一层防护。 在某用户的 Diligent One 密码被盗用的情况下,如果攻击者没有访问该用户的 2FA 身份验证器应用程序(通常需要该用户的手机),则攻击者仍然无法登录。

权限

只有系统管理员可以强制执行 2FA、解锁帐户和禁用 2FA。

工作原理

系统管理员可以在 Diligent One 实例中强制执行 2FA。 强制执行 2FA 后,Diligent One 实例中的所有用户必须完成以下操作才能够访问相应的实例:

  • 下载一款可支持基于时间的一次性密码 (TOTP) 的身份验证器应用程序
  • 通过将 Diligent One 帐户与身份验证器应用程序关联,激活帐户的 2FA
  • 在 Diligent One 中输入验证码

我们支持哪些 2FA 身份验证器

Diligent One 的 2FA 与大多数可提供基于时间的一次性密码 (TOTP) 的身份验证器应用程序兼容。 我们已经在下述应用程序上进行了测试,并且知道它们可以正常使用,因此,我们认为在其他应用程序上应该也可以正常使用。

  • Google Authenticator
  • Microsoft Authenticator
  • Cisco Duo Mobile
  • Okta Verify
  • Auth0 Guardian
  • LastPass Authenticator

如果用户在尝试登录时方式有误,会出现什么情况

为防止暴力攻击,已启用 2FA 的实例的用户将受到如下限制:可以尝试 5 次密码和 3 次身份验证代码。 如果尝试均以失败告终,则此时 Diligent One 会锁定他们的帐户。 需要系统管理员才能为用户解锁其帐户。

如果您想同时使用 SSO 和 2FA

您可以免除用户的 SSO 身份验证。有关详细信息,请参阅 配置双因素身份验证(2FA 或 MFA)

如果用户访问多个实例

如果您在 Diligent One 实例中启用 2FA,则该实例的所有用户都需要使用 2FA 才能访问任意 Diligent One 实例,包括属于其他公司的实例。

强制执行 2FA

请按照下述步骤为 Diligent One 实例中的所有用户启用 2FA。

让用户为使用 2FA 做好准备

  • 虽然大多数用户以前在其它场合遇到过 2FA,但是您不应该假设每个用户都有这样的经历。 由于这是一项全局更改,因此最好是告知用户即将到来的变化及其影响。
  • 仔细思考您将如何应对极端情况。 例如,无法访问移动设备的用户,是否应该使用其现有机器上的身份验证器应用程序进行身份验证?
  • 如果您在大型企业工作,请准备好在 Diligent One 必须锁定用户帐户时,为支持人员提供额外开销。

更改为使用 2FA

  1. 打开启动面板
  2. 如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
  3. 选择平台设置 > 组织。 如果您没有看到组织选项,则表明您用于登录的帐户没有系统管理员权限。
  4. 单击更新组织
  5. 单击安全设置选项卡。
  6. 全平台双因素身份验证下,选中启用
  7. 单击保存更改

现在,对所有可以访问此 Diligent One 实例的用户强制执行 2FA。 下次登录时,您需要像其他人一样为自己的帐户设置 2FA。 目前,您依然保持登录状态。

在实例中禁用 2FA

您可以在 Diligent One 实例中关闭强制执行 2FA。

说明

这项操作不会自动为您的用户关闭 2FA。 每个用户都可以选择继续使用 2FA 或者您也可以将其注销

  1. 打开启动面板
  2. 如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
  3. 选择平台设置 > 组织。 如果您没有看到组织选项,则表明您用于登录的帐户没有系统管理员权限。
  4. 单击更新组织
  5. 单击安全设置选项卡。
  6. 全平台双因素身份验证下,取消选中启用
  7. 单击保存更改

解锁被锁定的帐户

如果某个用户多次尝试登录但未成功,Diligent One 会锁定其帐户。 要恢复用户的访问权限,则必须由系统管理员解锁其帐户。

  1. 打开启动面板
  2. 如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
  3. 选择平台设置 > 用户。 如果您没有看到用户选项,则表明您用于登录的帐户没有系统管理员权限。
  4. 查找需要解锁的用户:
    • 在搜索框中输入姓名或电子邮件。
    • 使用过滤器将用户列表限制为子集。
    • 单击姓名、状态或上次登录日期列,对用户进行排序。
  5. 单击该用户的姓名。 将会打开“用户详情”面板。
  6. 单击解锁

此时,被锁定的用户可以再次登录 Diligent One。

从 2FA 注销其他用户

如果某个用户丢失或更改了其移动设备,系统管理员可以从 2FA 注销该用户。 如果强制执行了 2FA,则用户在下次尝试登录时,Diligent One 会提示该用户在 2FA 中注册新设备。 如果未强制执行 2FA,则该用户无需再使用 2FA。

  1. 打开启动面板
  2. 如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
  3. 选择平台设置 > 用户。 如果您没有看到用户选项,则表明您用于登录的帐户没有系统管理员权限。
  4. 查找需要解锁的用户:
    • 在搜索框中输入姓名或电子邮件。
    • 使用过滤器将用户列表限制为子集。
    • 单击姓名、状态或上次登录日期列,对用户进行排序。
  5. 单击该用户的姓名。 将会打开“用户详情”面板。
  6. 单击注销 2FA

此时,已从 2FA 注销该用户。

说明

身份验证器应用程序并不知道 2FA 是处于启用或者禁用状态。 如果用户不再希望 Diligent One 出现在其身份验证器应用程序中,则必须从使用的身份验证器应用程序中将其移除。

从 2FA 注销您自己的设备

如果您丢失或更改了个人移动设备,可以从 2FA 注销您的设备。 如果强制执行了 2FA,则您在下次尝试登录时,Diligent One 会提示您在 2FA 中注册新设备。

  1. 打开启动面板
  2. 从全局导航栏中选择 个人资料菜单图标 > 个人资料
  3. 单击注销设备。 弹出窗口将会提示您,如果注销设备,您将会被自动退出。
  4. 选择注销并退出,则会立即退出。
  5. 再次登录 Diligent One 并重复完成注册流程,以便访问您的账户