开启多因素认证MFA后,终端用户登录客户端时,在输入密码后还需输入MFA安全码,实现两层登录保护,可以提高用户账号的安全性。本文介绍如何设置多因素认证MFA。
背景信息
多因素认证MFA(Multi-factor authentication)是一种简单有效的安全实践,可以在用户名和密码之外再增加一层安全保护。开启MFA后,终端用户在登录客户端时,系统将校验两层安全要素,即在用户名和密码(第一层安全要素)的基础上,增加了MFA安全码(第二层安全要素,MFA设备生成的动态验证码),以此提高账号安全性。
MFA设备遵循TOTP算法,能够基于时间产生6位数字的动态验证码,它可以基于硬件也可以基于软件,无影云桌面支持基于软件的虚拟MFA设备。您可以在移动设备(如智能手机)上安装支持虚拟MFA的软件(如阿里云App),以此来作为虚拟MFA设备。
实现多因素认证MFA的流程如下:
- 在无影云桌面控制台为工作区开启MFA。
- 终端用户首次登录客户端时,绑定MFA设备。
- 终端用户后续登录客户端时,输入MFA安全码进行登录。
工作区开启MFA
您可以为工作区设置是否开启多因素认证MFA。开启后,该工作区下的所有云桌面将全部开启MFA。
- 登录无影云桌面控制台。
- 在顶部菜单栏左上角处,选择地域。
- 在左侧导航栏,单击总览。
- 在总览页面,单击目标工作区ID。
- 在工作区详情页面,将多因素认证设置为开启。
终端用户绑定虚拟MFA设备
如果终端用户使用的云桌面所属的工作区开启了MFA,则该用户在首次登录客户端时,需绑定虚拟MFA设备。您可以在智能手机上安装支持虚拟MFA的软件(以阿里云App为例),以此来作为虚拟MFA设备。
说明 根据手机的操作系统类型,您可以在App Store或者应用市场搜索阿里云,下载并安装阿里云App。
绑定虚拟MFA设备的操作步骤如下:
删除终端用户绑定的虚拟MFA设备
目前仅账号类型为AD账号的工作下的云桌面支持删除虚拟MFA设备。
在以下场景下,您可能需要删除用户当前绑定的虚拟MFA设备。
- 更换手机等原因导致不再使用当前绑定的虚拟MFA设备,需要重置设备。
- 当前绑定的虚拟MFA设备已经被锁定,暂时无法使用。
说明 在AD用户已经绑定了虚拟MFA设备的情况下,如果在输入安全码验证时,连续错误次数超过了5次,系统将锁定该设备1个小时。在锁定期间,如果想要登录云桌面,可以调用UnlockVirtualMFADevice进行解锁,或者删除该设备,重新绑定新的虚拟MFA设备。
删除虚拟MFA设备的操作步骤如下: