本文介绍如何使用二次认证以及在登录时绑定二次认证方式。
二次认证配置
IDaaS EIAM支持在使用密码登录后,要求用户进行二次认证,提高管理安全性,满足合规要求。为了保障您的使用安全性,二次认证能力默认开启。
开启模式
IDaaS EIAM支持两种二次认证开启模式。
模式 | 使用场景 | 说明 |
智能模式(推荐) | 当系统检测到以下高风险登录行为时,将自动触发智能模式验证以提升账户安全性:
| 开启后,IDaaS EIAM会根据上下文自行判断是否需要进行二次认证,在保障安全的基础上,降低用户使用复杂度。 |
常开模式 |
| 开启后,用户每次登录都需要进行二次认证。 |
二次认证方式
IDaaS EIAM支持多种二次认证方式,管理员可多选同时开启。
方式 | 说明 |
OTP 动态口令 | 使用阿里云APP或其它常用OTP APP(如Google身份验证器),输入6位动态口令以完成二次认证。 用户可在IDaaS EIAM应用门户的账户管理中绑定OTP。详情请参考:用户自服务。 管理员可帮助用户解绑OTP动态口令。详情请参考:OTP-已绑定动态口令。 |
短信验证码 | 发送6位验证码短信到IDaaS EIAM账户手机号。若账户没有手机号,则无法使用该方式。 短信暂不收费。 可前往短信模板菜单查看短信内容。 |
邮箱验证码 | 发送6位验证码邮件到IDaaS EIAM账户邮箱。若账户没有邮箱,则无法使用该方式。 可前往邮件模板菜单查看邮件内容。 |
WebAuthn | 使用WebAuthn认证器当做二次认证因子,实现硬件级的安全、便捷认证。 更多请参考:高级:WebAuthn安全登录。 管理员可帮助用户注册和删除Webauthn认证器详情请参考:WebAuthn-已注册认证器。 |
若IDaaS EIAM账户无可用的二次认证方式,账户将无法通过二次认证。建议开启登录时绑定二次认证,或确保所有IDaaS账户均能使用至少一种二次认证方式。
开启后,所有IDaaS EIAM账户均可使用。用户可在二次认证环节自行选择使用方式。参考下图:
登录时绑定二次认证
通过绑定二次认证方式,未绑定二次认证方式的账户在登录时如果满足绑定条件,则可直接绑定二次认方式。
绑定条件
当账户满足所有已开启的绑定条件时,才可在登录时绑定二次认证方式。
方式 | 说明 |
账户无可用的二次认证方式 | 针对已启用的二次认证方式,账户均未绑定时,则满足该条件。例如开启了短信验证码二次认证,但账户只绑定了邮箱,此时则满足该条件。 |
账户无登录成功记录 | 如果账户未曾成功登录过IDaaS EIAM,则满足该条件。建议开启该条件(或在存量账户完成绑定后开启),以降低存量账户被盗用的风险。 |
账户创建至今小于 n 天 | 即新账户在一定时间内才可绑定。建议开启该条件,以降低存量账户被盗用的风险。 |
可绑定的二次认证方式
当账户满足绑定条件时,如果已启用的二次认证方式同时也是可绑定的二次认证方式,则可被绑定。
例如,实例启用了短信和邮件验证码作为二次认证方式,只启用了短信验证码作为可绑定的二次认证方式。
如果账户未绑定手机号和邮箱,则在登录时可以绑定手机号,无法绑定邮箱。
