设置双因素验证 - 微软身份验证器
微软身份验证器是微软开发的基于软件的身份验证令牌。该令牌提供一串六位数数字,用户必须输入该数字作为第二重身份验证。 您需要在智能手机或平板电脑设备上安装微软身份验证器应用。它将生成一串六位数数字,且每30秒更改一次。 以下是使用微软身份验证器作为第二重身份验证的基本流程:
- 用户访问PAM360 Web登录界面。
- PAM360先对用户进行AD、LDAP或本地验证(第一次验证)。
- PAM360 通过微软身份验证器请求第二次验证。
- 用户输入微软身份验证器生成的6位数动态口令。
- 验证通过后,用户即可登录PAM360。
步骤摘要:
- 在PAM360中配置双因素验证。
- 对所需用户启用双因素验证。
步骤 1:在 PAM360 中配置双因素验证
- 导航到 管理 >> 身份验证 >> 双因素验证
- 选择微软验证选项,然后点击保存。
- 点击确认,微软验证设置为双因素验证的第二个因素。
步骤 2:为所需用户启用双因素验证。
- 当您确认将微软认证设置为双因素认证的第二个因素,页面将弹出新窗口,并提示您选择需要开启双因素验证的用户。
- 您可为单个用户或批量为多个用户启用或禁用双因素验证。 为单个用户启用双因素验证,请单击相应用户名旁边的启用。 为多个用户启用,请选择所需的用户名,然后点击用户列表顶部的启用。 类似的,您也可以禁用双因素验证。
- 关闭窗口。
- 您也可以导航到用户 >> 更多操作 >>双因素验证进行操作,如下图:
- 在打开的窗口中,选择要对其启用双因素验证的用户。
当启用了“微软认证”作为双因素认证方法时,如何登录到PAM360?
前提条件
使用微软验证作为身份验证的第二个因素,您应该先在智能手机或平板电脑中安装该微软身份验证器。
连接到 PAM360 Web界面
启用双因素验证的用户必须完成两次身份验证才能登陆到PAM360。 如上所述,第一级验证为常用验证。即,用户必须要完成PAM360本地、AD或LDAP验证。
- 打开PAM360登录界面,输入用户名和密码并点击"登录"。 将微软身份验证器与您的PAM360帐户关联:
- 当您启用了“微软认证”作为双因素认证方法后首次登录时,系统将提示您将微软身份验证器与PAM360中的帐户关联。 在移动设备或平板电脑中启动微软身份验证器应用后,点击“添加帐户”或“+”按钮,然后选择“其他(谷歌,Facebook等)”为你所添加的帐户类型。
- 扫描PAM360页面中的二维码或手动输入二维码。
- 如果您选择手动输入二维码,PAM360将提示您输入帐户名称和安全密钥。
- PAM360帐号的格式为:PAM360:帐号名(例如,PAM360: john@abc.com)。
- 输入一个数字和字母结合的密码,然后点击完成。
- 微软身份验证器现在将开始定期生成验证码,每30秒更新一次。
- 完成以上操作后,您需要在PAM360文本框中输入微软身份验证器生成的当前动态口令,进行第二重身份验证。
故障排除提示
如前所述,微软验证器与您的PAM360帐户关联在一起。 如果您丢失了移动设备/平板电脑,或者不小心删除了设备上的微软 身份验证器应用,这时,您需点击PAM360登陆界面的链接"使用微软身份验证器时遇到问题?”,系统将提示您输入PAM360用户名以及与PAM360关联的邮件地址。 在输入PAM360用户名以及配置的邮箱地址后,您会收到重置微软验证器的邮件。
如果您已配置高可用性
如果您已经配置了高可用性,那么无论开启双因素验证还是更改双因素验证类型(PhoneFactor、RSA SecurID、通过邮件发送一次性密码或Google身份验证),都需要重启PAM360辅助服务器。