多因素认证MFA(Multi-Factor Authentication)是一种简单有效的最佳安全实践,在用户名和密码之外再额外增加一层安全保护,用于登录控制台时的二次身份验证,以此保护您的账号更安全。

概述

当启用云SSO用户的用户名和密码登录时,默认启用MFA。目前,云SSO支持MFA设备作为多因素认证方式。

为云SSO用户启用MFA的操作步骤如下:

  1. 云SSO管理员为云SSO用户启用登录时的MFA校验。
    您可以根据需要,启用全局MFA校验或启用单个云SSO用户的MFA校验。具体操作,请参见配置全局MFA配置用户MFA
  2. 云SSO用户首次登录阿里云时,添加MFA设备,然后进行MFA校验。
    具体操作,请参见添加第一个MFA设备

本文主要为您介绍云SSO管理员配置全局MFA、配置用户MFA和删除MFA设备的操作方法。

配置全局MFA

  1. 登录云SSO控制台
  2. 在左侧导航栏,单击设置
  3. 用户名密码登录区域,单击登录时是否进行多因素认证(MFA)校验下面的编辑
  4. MFA设备对话框,配置MFA。
    1. 配置登录时是否进行MFA验证。
      • 登录时必须校验(默认值):为所有云SSO用户启用MFA校验。

        用户在首次登录时,需要先添加MFA设备。具体操作,请参见添加第一个MFA设备

      • 依赖用户独立配置:遵从每个云SSO用户自身的MFA配置。

        关于配置用户MFA的具体操作,请参见配置用户MFA

      • 只在异常登录时验证:仅在登录地址变更、登录设备变更等登录环境不可信的情况下,强制启用MFA校验,其他情况不启用MFA校验。
      • 不校验:为所有用户禁用MFA校验。
    2. 当您在上一步选择了依赖用户独立配置只在异常登录时验证时,您需要配置异常登录时的MFA校验策略。
      • 可跳过,不强制绑定:异常登录时,会提示云SSO用户进行MFA校验,但允许云SSO用户跳过。
      • 强制绑定验证:异常登录时,强制启用MFA校验。
  5. 单击确定

配置用户MFA

配置全局MFA时,如果选择了依赖用户独立配置,则云SSO管理员需要为单个云SSO用户配置独立的MFA。

  1. 登录云SSO控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 单击目标用户名称。
  4. 详情页签的多因素认证(MFA)设置区域,单击登录时是否进行多因素认证(MFA)校验下面的编辑
  5. MFA设备对话框,配置MFA。
    • 登录时必须校验:为当前用户启用MFA校验。

      用户在首次登录时,需要先添加MFA设备。具体操作,请参见添加第一个MFA设备

    • 只在异常登录时验证:仅在登录地址变更、登录设备变更等登录环境不可信的情况下,强制启用MFA校验,其他情况不启用MFA校验。
    • 不校验:为当前用户禁用MFA校验。
  6. 单击确定

删除MFA设备

对于绑定了MFA设备的用户,云SSO管理员可以根据需要删除该MFA设备。

警告 删除MFA设备后,云SSO用户将不能通过该MFA设备进行二次身份核验,降低账号安全性。
  1. 登录云SSO控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 单击目标用户名称。
  4. 详情页签的MFA设备列表区域,单击目标MFA设备操作列的删除
  5. 删除MFA设备对话框,单击确定