设置双因素验证 -Okta 验证
Okta验证是一个基于软件的身份验证令牌,该令牌提供一个六位数的数字,用户必须输入该数字作为第二重身份验证。
您需要在智能手机或平板电脑设备上安装微软身份验证器应用。它将生成一串六位数数字,该数字每30秒更改一次。以下是使用Okta验证作为第二重身份验证的基本流程:
- 用户访问 PAM360登录界面。
- PAM360先对用户进行AD、LDAP或本地验证(第一次验证)。
- PAM360 通过Okta 验证请求第二次验证。
- 用户输入Okta验证应用生成的6位数动态口令。
- 验证通过后,用户即可登录PAM360。
步骤摘要:
- 在 PAM360 中配置双因素验证。
- 对所需用户启用双因素验证。
步骤 1:在 PAM360 中配置双因素验证
- 导航到 管理 >> 身份验证 >> 双因素验证
- 选择Okta Verify,点击 保存。
- 点击 确认,将Okta验证设置为双因素验证的第二个因素。
步骤 2:为所需用户启用双因素验证。
- 当您确认将Okta验证设置为双因素认证的第二个因素,页面将弹出新窗口,并提示您选择需要开启双因素验证的用户。
- 您可为单个用户或批量为多个用户启用或禁用双因素验证。 为单个用户启用双因素验证,请单击相应用户名旁边的启用。 为多个用户启用,请选择所需的用户名,然后点击用户列表顶部的启用。 类似的,您也可以禁用双因素验证。
- 关闭当前窗口。
- 您也可以导航到用户 >> 更多操作 >>双因素验证进行操作,如下图:
- 在打开的窗口中,选择要启用Okta双因素验证的用户。
当启用了“Okta验证”作为双因素认证方法时,如何登录到PAM360?
前提条件
要使用 Okta 验证作为身份验证的第二个因素,您应该先在智能手机或平板电脑中安装该应用。
连接到 PAM360 Web界面
启用双因素验证的用户必须完成两次身份验证才能登陆到PAM360。 如上所述,第一级验证为常用验证。即,用户必须要完成PAM360本地、AD或LDAP验证。
- 打开PAM360 Web 界面,输入用户名和密码并点击"登录"。 将Okta验证与您的PAM360帐户关联:
- 当您通过Okta验证启用TFA后首次登录时,系统将提示您将TFA与PAM360中的帐户关联。 在移动设备或平板电脑中启动Okta验证器应用后,点击“添加帐户”或“+”按钮。
- 您可以扫描PAM360页面上的二维码,或者通过点击“没有二维码?”按钮手动创建一个账户。
- 如果您选择手动输入二维码,PAM360将提示您输入帐户名称和安全密钥。
- PAM360帐号的格式为:PAM360:帐号名(例如,PAM360: john@abc.com)。
- 输入一个数字和字母结合的密码,然后点击"添加帐户"。
- Okta验证器现在将开始定期生成代码,每30秒更新一次。
- 完成以上操作后,您需要在PAM360文本框中输入Okta验证器生成的当前动态口令,进行第二重身份验证。
故障排除提示
如前所述,Okta验证与您的PAM360帐户关联在一起。 如果您丢失了移动设备/平板电脑,或者不小心删除了设备上Okta身份验证应用,这时,您需点击PAM360登陆界面的链接"使用Okta身份验证器时遇到问题?”,系统将提示您输入PAM360用户名以及与PAM360关联的邮件地址。 在输入PAM360用户名以及配置的邮箱地址后,您会收到重置Okta验证的邮件。
如果您已配置高可用性
如果您已经配置了高可用性,那么无论开启双因素验证还是更改双因素验证类型(PhoneFactor、RSA SecurID、通过邮件发送一次性密码或Google身份验证),都需要重启PAM360辅助服务器。