Network Configuration Manager中的双因素身份验证

双因素身份验证(TFA)提供了额外的身份验证级别，并通过要求用户提供唯一的基于时间的一次性密码(TOTP)来提高安全性。TOTP通过身份验证应用程序生成的，或者作为一次性密码(OTP)发送到用户配置的电子邮件地址。TFA加强身份验证并防止未经授权的访问。

在Network Configuration Manager中配置TFA的步骤：

1. 进入设置 - > 用户管理 -> 双因素身份验证。
2. 选择"启用双因素身份验证(TFA)"选项。
3. 选择所需的身份验证模式：身份验证器应用程序(TOTP通过身份验证器应用程序进行，包括但不限于Google身份验证、Microsoft身份验证、Duo等)或电子邮件身份验证(OTP发送到用户配置的电子邮件地址)。
   注意：需要为电子邮件身份验证模式配置邮件服务器设置。
4. 输入您要允许用户的浏览器受到信任的天数。也就是说，当用户在指定的天数内登录到该浏览器时无需提供TOTP/OTP。如果用户在登录期间选中复选框来信任浏览器，那么之后规定天数内则无需重复提供。
5. 点击“保存”。
   注意：如果选择“身份验证器应用程序”作为身份验证模式，所有用户将在下次登录时被提示设置他们的身份验证器应用程序。
   •   
   •   
   •   

   ⟨⟩
   如果身份验证器应用程序是所选择的身份验证模式：
    
6. 在下次登录期间，安装并按照屏幕上显示的步骤在您的移动设备上配置所需的身份验证器应用程序。
   注意：在TOTP的情况下，所配置的移动设备中的时间必须与服务器的时间同步。或者，如果身份验证模式被选择为“电子邮件”，则OTP将通过电子邮件发送到用户配置的电子邮件ID。
7. 输入在身份验证应用程序/电子邮件中生成的OTP来登录。
   •   
   •   

   ⟨⟩

注意：如果由于配置的移动设备丢失或任何其他此类原因需要新 TOTP密码，管理员用户可以转到设置 -> 用户管理，然后点击下方的“重置 TOTP 密码”图标相应用户的“操作”。

故障排除步骤：

如果管理员用户无法登录产品，并且管理员丢失了配置的移动设备/无法从电子邮件中检索OTP，则可以通过运行BAT/SH文件禁用TFA。要进行故障排除，请按照以下步骤操作：

注意：在TOTP的情况下，配置的移动设备中的时间必须与服务器时间同步。或者如果身份验证模式选择为“电子邮件”，则OTP将通过电子邮件发送到用户配置的电子邮件ID。

对于Windows：

1. 停止OpManagerService。
2. 以管理员身份打开命令提示符，导航到<OpManager_installed_dir/bin>。
3. 执行DisableTFA.bat文件。
4. 启动OpManagerService。

对于Linux：

1. 停止OpManagerService。
2. 以特权用户身份打开终端(su/sudo)。
3. 导航到<OpManager_installed_dir/bin>。
4. 执行DisableTFA.sh文件。
5. 启动OpManagerService。

如有任何进一步的疑问，请联系support@manageengine.cn。