配置双因素身份验证(2FA 或 MFA)
双因素身份验证(也称为 2FA 或 MFA)要求用户输入密码和临时访问码,可以为 Diligent One 实例安全性增添一层防护。在某用户的 Diligent One 密码被盗用的情况下,如果攻击者没有访问该用户的 2FA 身份验证器应用程序(通常需要该用户的手机),则攻击者仍然无法登录。
权限
只有系统管理员可以强制执行 2FA、解锁帐户和禁用 2FA。
工作原理
系统管理员可以在 Diligent One 实例中强制执行 2FA。强制执行 2FA 后,Diligent One 实例中的所有用户必须完成以下操作才能够访问相应的实例:
- 下载一款可支持基于时间的一次性密码 (TOTP) 的身份验证器应用程序
- 通过将 Diligent One 帐户与身份验证器应用程序关联,激活帐户的 2FA
- 在 Diligent One 中输入验证码
我们支持哪些 2FA 身份验证器
Diligent One 的 2FA 与大多数可提供基于时间的一次性密码 (TOTP) 的身份验证器应用程序兼容。我们已经在下述应用程序上进行了测试,并且知道它们可以正常使用,因此,我们认为在其他应用程序上应该也可以正常使用。
- Google Authenticator
- Microsoft Authenticator
- Cisco Duo Mobile
- Okta Verify
- Auth0 Guardian
- LastPass Authenticator
如果用户在尝试登录时方式有误,会出现什么情况
为防止暴力攻击,已启用 2FA 的实例的用户将受到如下限制:可以尝试 5 次密码和 3 次身份验证代码。如果尝试均以失败告终,则此时 Diligent One 会锁定他们的帐户。需要系统管理员才能为用户解锁其帐户。
无法同时使用 SSO 和 2FA
您不能搭配使用单点登录和双因素身份验证。如果您需要同时使用 SSO 和 2FA,则应该使用您的 SSO 身份提供程序自带的 2FA 功能。如果已启用 SSO,则 Diligent One 不允许开启 2FA。同样,如果实例中的任意一个成员使用了 2FA,则 Diligent One 不允许开启 SSO。
如果用户访问多个实例
如果您在 Diligent One 实例中启用 2FA,则该实例的所有用户都需要使用 2FA 才能访问任意 Diligent One 实例,包括属于其他公司的实例。
强制执行 2FA
请按照下述步骤为 Diligent One 实例中的所有用户启用 2FA。
让用户为使用 2FA 做好准备
- 虽然大多数用户以前在其它场合遇到过 2FA,但是您不应该假设每个用户都有这样的经历。由于这是一项全局更改,因此最好是告知用户即将到来的变化及其影响。
- 仔细思考您将如何应对极端情况。例如,无法访问移动设备的用户,是否应该使用其现有机器上的身份验证器应用程序进行身份验证?
- 如果您在大型企业工作,请准备好在 Diligent One 必须锁定用户帐户时,为支持人员提供额外开销。
更改为使用 2FA
- 打开启动面板。
- 如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
- 选择平台设置 > 组织。如果您没有看到组织选项,则表明您用于登录的账户没有系统管理员权限。
- 单击更新组织。
- 单击安全设置选项卡。
- 在全平台双因素身份验证下,选中启用。
- 单击保存更改。
现在,对所有可以访问此 Diligent One 实例的用户强制执行 2FA。下次登录时,您需要像其他人一样为自己的帐户设置 2FA。目前,您依然保持登录状态。
在实例中禁用 2FA
您可以在 Diligent One 实例中关闭强制执行 2FA。
说明
这项操作不会自动为您的用户关闭 2FA。每个用户都可以选择继续使用 2FA 或者您也可以将其注销。
- 打开启动面板。
- 如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
- 选择平台设置 > 组织。如果您没有看到组织选项,则表明您用于登录的账户没有系统管理员权限。
- 单击更新组织。
- 单击安全设置选项卡。
- 在全平台双因素身份验证下,取消选中启用。
- 单击保存更改。
解锁被锁定的帐户
如果某个用户多次尝试登录但未成功,Diligent One 会锁定其帐户。要恢复用户的访问权限,则必须由系统管理员解锁其帐户。
- 打开启动面板。
- 如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
- 选择平台设置 > 用户。如果您没有看到用户选项,则表明您用于登录的账户没有系统管理员权限。
- 查找需要解锁的用户:
- 在搜索框中输入姓名或电子邮件。
- 使用过滤器将用户列表限制为子集
- 单击姓名、状态或上次登录日期列,对用户进行排序。
- 单击该用户的姓名。将会打开“用户详情”面板。
- 单击解锁。
此时,被锁定的用户可以再次登录 Diligent One。
从 2FA 注销其他用户
如果某个用户丢失或更改了其移动设备,系统管理员可以从 2FA 注销该用户。如果强制执行了 2FA,则用户在下次尝试登录时,Diligent One 会提示该用户在 2FA 中注册新设备。如果未强制执行 2FA,则该用户无需再使用 2FA。
- 打开启动面板。
- 如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
- 选择平台设置 > 用户。如果您没有看到用户选项,则表明您用于登录的账户没有系统管理员权限。
- 查找需要解锁的用户:
- 在搜索框中输入姓名或电子邮件。
- 使用过滤器将用户列表限制为子集
- 单击姓名、状态或上次登录日期列,对用户进行排序。
- 单击该用户的姓名。将会打开“用户详情”面板。
- 单击注销 2FA。
此时,已从 2FA 注销该用户。
说明
身份验证器应用程序并不知道 2FA 是处于启用或者禁用状态。如果用户不再希望 Diligent One 出现在其身份验证器应用程序中,则必须从使用的身份验证器应用程序中将其移除。
从 2FA 注销您自己的设备
如果您丢失或更改了个人移动设备,可以从 2FA 注销您的设备。如果强制执行了 2FA,则您在下次尝试登录时,Diligent One 会提示您在 2FA 中注册新设备。