开启多因素认证MFA后,终端用户登录客户端时,在输入密码后还需输入MFA安全码,实现两层登录保护,可以提高用户账号的安全性。本文介绍如何设置多因素认证MFA。

前提条件

未开启客户端登录校验和SSO设置。

背景信息

为避免校验冲突,客户端登录校验、多因素设备认证和SSO设置三者之间未互斥关系。

  • 如果开启客户端登录校验,则无法开启多因素设备认证和SSO设置。
  • 如果开启多因素设备认证,则无法开启客户端登录校验和SSO设置。
  • 如果开启SSO设置,则无法开启客户端登录校验和多因素设备认证。

多因素认证MFA(Multi-factor authentication)是一种简单有效的安全实践,可以在用户名和密码之外再增加一层安全保护。开启MFA后,终端用户在登录客户端时,系统将校验两层安全要素,即在用户名和密码(第一层安全要素)的基础上,增加了MFA安全码(第二层安全要素,MFA设备生成的动态验证码),以此提高账号安全性。

MFA设备遵循TOTP算法,能够基于时间产生6位数字的动态验证码,它可以基于硬件也可以基于软件,无影云桌面支持基于软件的虚拟MFA设备。您可以在移动设备(如智能手机)上安装支持虚拟MFA的软件(如阿里云App),以此来作为虚拟MFA设备。

实现多因素认证MFA的流程如下:
  1. 在无影云桌面控制台为工作区开启MFA。
  2. 终端用户首次登录客户端时,绑定MFA设备。
  3. 终端用户后续登录客户端时,输入MFA安全码进行登录。

工作区开启MFA

您可以为工作区设置是否开启多因素认证MFA。开启后,该工作区下的所有云桌面将全部开启MFA。

  1. 登录无影云桌面控制台
  2. 在顶部菜单栏左上角处,选择地域。
  3. 在左侧导航栏,单击概览
  4. 总览页面,单击待开启MFA的工作区ID。
  5. 安全设置中将多因素认证设置为开启
  6. 在弹出的提示框中单击确认修改

终端用户绑定虚拟MFA设备

如果终端用户使用的云桌面所属的工作区开启了MFA,则该用户在首次登录客户端时,需绑定虚拟MFA设备。您可以在智能手机上安装支持虚拟MFA的软件(以阿里云App为例),以此来作为虚拟MFA设备。
说明 根据手机的操作系统类型,您可以在App Store或者应用市场搜索阿里云,下载并安装阿里云App。

绑定虚拟MFA设备的操作步骤如下:

  1. 双击客户端图标打开客户端。
  2. 输入工作区ID并选择对应的网络连接方式,单击下一步
    首次登录时需要设置工作区ID和连接方式,下次登录时,系统将自动使用首次配置并跳过该步骤。如果您需要切换工作区,请修改登录配置。
  3. 输入用户名和密码,单击下一步
  4. 按照页面提示,扫码绑定虚拟MFA设备。
    1. 在手机端打开阿里云App,扫描客户端页面展示的二维码,获取安全码。
    2. 在客户端页面,单击下一步
    3. 在客户端页面输入阿里云App中虚拟MFA页面展示的6位数字的安全码,单击确定绑定
    • 如果输入MFA安全码的连续错误次数超过5次,则认为绑定失败,系统将禁用该虚拟MFA设备。您需要重新登录客户端,绑定新的虚拟MFA设备。
    • 如果输入的MFA安全码验证成功,则认为绑定成功,将直接登录展示云桌面列表。下次登录时,在输入用户名和密码后,可以直接输入对应的MFA安全码进行验证。

删除终端用户绑定的虚拟MFA设备

目前仅账号类型为AD账号的工作下的云桌面支持删除虚拟MFA设备。

在以下场景下,您可能需要删除用户当前绑定的虚拟MFA设备。
  • 更换手机等原因导致不再使用当前绑定的虚拟MFA设备,需要重置设备。
  • 当前绑定的虚拟MFA设备已经被锁定,暂时无法使用。
    说明 在AD用户已经绑定了虚拟MFA设备的情况下,如果在输入安全码验证时,连续错误次数超过了5次,系统将锁定该设备1个小时。在锁定期间,如果想要登录云桌面,可以调用UnlockVirtualMFADevice进行解锁,或者删除该设备,重新绑定新的虚拟MFA设备。

删除虚拟MFA设备的操作步骤如下:

  1. 登录无影云桌面控制台
  2. 在顶部菜单栏左上角处,选择地域。
  3. 在左侧导航栏,选择桌面 > 桌面
  4. 云桌面管理页面,找到用户使用的云桌面,单击对应操作列中的更多,选择管理用户MFA设备
    在弹出页面,您可以查看该云桌面对应用户的用户名及其绑定的虚拟MFA设备序列号。
  5. 找到要删除的虚拟MFA设备,单击对应操作列中的删除,然后单击确认
    删除后,对应的AD用户在下次登录客户端时,需重新绑定虚拟MFA设备。