设置双因素验证 -PhoneFactor身份验证

概述

ManageEngine的合作伙伴PhoneFactor是提供基于电话的双重身份验证的国际知名公司，为PAM360提供简单高效的双重身份验证。

PhoneFactor的工作原理是在登录过程中向您的手机拨打确认电话。当您通过了第一重身份验证，在第二重身份验证的时候，您要接听电话，拨#号键（或输入一个PIN，即个人识别号码），这样就可以通过基于电话的身份验证了。

以下是PhoneFactor验证的整体过程：

用户尝试访问PAM360 Web界面
PAM360 通过AD/LDAP/本地完成第一次身份验证
PAM360 提示您通过PhoneFactor进行第二次身份验证
PhoneFactor给您拨打电话。接听电话，拨#号键（或输入PIN值）
PAM360允许用户访问 Web 界面

启用PhoneFactor身份验证

预曲站点

在启用 PhoneFactor 身份验证之前，您需要购买PhoneFactor。详情请参阅 PhoneFactor网站。获取 PhoneFactor后，您您要确定身份验证的方法：是要在环境中安装PhoneFactor代理还是部署PhoneFactor Direct SDK。

工作原理

用户信息必须有电话号码。如果使用PhoneFactor代理方式，用户的信息（包括电话号码），将保存在代理中；如果使用SDK方式，将使用保存在PAM360数据库中的电话。当用户登录的时候，PhoneFactor拨打该用户的电话号码。

启用PhoneFactor双因素验证的步骤如下：

步骤摘要

在 PAM360 中设置双因素验证
确定PhoneFactor身份验证的方式，进行相关配置
在 PAM360 中为需要的用户启用双因素验证

步骤 1：在 PAM360 中设置双因素验证

第一步是启用双因素验证。

导航到 管理 >> 身份验证 >> 双因素验证。
选择PhoneFactor选项。
点击保存。

注意：在继续后面步骤之前，请检查所有需要PhoneFactor双重身份验证的用户都配置好了电话号码（可以使用固定电话或手机）。

固定电话号格式如下：

<国家代码><带区号的电话号码><分机号码（如果有）>

示例：+1 9259249500 292

手机号码格式如下：

<国家代码> <手机号码>

步骤2：选择身份验证方法

您可以选择部署PhoneFactor代理或PhoneFactor Direct SDK。

PhoneFactor代理

PhoneFactor代理运行在您网络中的Widnows主机上，它提供了一个配置向导来指引您配置使用PhoneFactor来强化PAM360的认证。PhoneFactor代理还支持与AD和LDAP集成，来使用集中管理的用户数据获。此外还提供全面的报表和审计日志。

Direct SDK

您也可以使用PhoneFactor Direct SDK ，它可用于与 PAM360 集成，并使用 PAM360 的数据库。

注意：PhoneFactor代理方式支持输入PIN进行身份验证。Direct SDK方式只需要输入#号，不用输入PIN。

部署PhoneFactor代理

（注意：如果您已经安装了 PhoneFactor 代理，您可以跳过步骤1，直接到步骤 2。）

在网络内的Windows服务器上获取并安装PhoneFactor代理的步骤如下：

步骤 1：PhoneFactor代理配置

因为电话号码存储在PhoneFactor代理中，安装后，您需要添加所有需要启用PhoneFactor双因素验证的用户及其电话号码。还可以和AD/LDAP集成，自动导入用户。如果用户第一重验证是使用本地身份验证，那么您需要手动输入用户及电话号。
PhoneFactor代理中添加的用户名要和PAM360中的一致。（即PAM360中的“PhoneFactor用户名”）。
导入用户后，检查电话号码格式是否正确

重要说明：用户信息及其电话号码保留在 PhoneFactor 代理中，也就是说，用户将只通过代理中指定的电话号码接收呼叫，所以，您在PAM360中修改电话号码时，也需要在代理上进行更改。同样，当您在PAM360 添加新用户时，如果要为该用户启用PhoneFactor验证，那么您也需要在PhoneFactor代理中添加该用户。否则，PhoneFactor将不起作用。

步骤 2： PAM360 中的配置

在PAM360的双因素验证设置页面中，选择"PhoneFactor代理"
输入访问PhoneFactor的信息，包括用户名、密码和代理服务器URL。
AM360和PhoneFactor代理间通过SSL通讯。所以，您需要把安装在Web Services SDK上的SSL证书导入到PAM360中。

在安装PhoneFactor代理/Web Services SDK的时候，您可以使用自签名证书或CA签名的证书。在PAM360中，需要导入CA的根证书。如果您的PAM360已经在使用CA签名的证书，可以跳过该步。

要导入CA 的根证书，请参考以下步骤：

导航到PAM360安装目录/bin目录下
执行importPhoneFactorCert.bat （在 Windows 中）或者importPhoneFactorCert.sh（在 Linux 中）

（在Windows中）

对于自签名证书

importPhoneFactorCert.bat <自签名证书的绝对路径>

对于CA签名的证书

importPhoneFactorCert.bat <CA根证书的绝对路径>

（在Linux中）

对于自签名证书

sh importPhoneFactorCert.sh <自签名证书的绝对路径>

对于CA签名的证书

sh importPhoneFactorCert.sh <CA根证书的绝对路径>

重启 PAM360 服务器
PAM360导入了CA根证书后，以后就可以使用该CA签名的所有证书了。
执行步骤 3- 在PAM360中对需要的用户启用双因素验证。

注意：如果您的企业网络需要代理服务器才能连接互联网，请配置代理服务器，使PAM360连接到PhoneFactor网站：PMP>>> 管理 >>> 全局 >>> 代理服务器设置。

在PAM360高可用性部署中的备用服务器上配置PhoneFactor代理

如果在PAM360中配置了高可用性，并选择部署 PhoneFactor 代理，也需要在PAM360备服务器中导入证书，步骤如上所述。如果您使用的是由第三方 CA 签名的证书，可以跳过此步骤。

部署PhoneFactor Direct SDK方式

步骤 1： SDK中的配置

PhoneFactor jar文件已经包含在PAM360中，如果您购买了PhoneFactor，请按照下面步骤2所述提供许可。

步骤 2： PAM360中的配置

检查相应的PAM360用户是否配置好了电话号码，和PhoneFactor代理方式的主要不同是用户及其电话保存在PAM360数据库中。
在PhoneFactor界面中，指定PhoneFactor的许可文件、PhoneFactor证书和私钥密码。(这些文件位于PhoneFactor SDK文件夹中)
继续执行步骤 3- 在PAM360中选择用户，启用双因素验证。

注意：如果您的企业网络需要代理服务器才能连接互联网，请配置代理服务器，使PAM360连接到PhoneFactor网站：PMP>>> 管理 >>> 全局 >>> 代理服务器设置。

在PAM360高可用性部署中的备服务器上配置PhoneFactor Direct SDK：

如果在 PAM360 中配置了高可用性，并选择 PhoneFactor Direct SDK模式，则需要在PAM360备服务器中执行以下配置：

导航到<PAM360主安装目录/licenses>文件夹下
复制 license.xml和cert.p12
导航到<PAM360备服务器安装目录/licenses>文件夹下
粘贴这两个文件

步骤 3：为需要的用户启用双因素验证

在上一步中确认将PhoneFactor作为身份验证的第二个因素后，页面将自动弹出窗口提示您选择用户。
您可以批量启用或禁用单个用户或多个用户的双因素验证。若要为单个用户启用双因素验证，请单击用户名旁边的“启用”按钮。对于多个用户，选择所需的用户名，然后点击用户列表顶部的“启用”按钮，同样，您也可以从这里“禁用”双因素验证。

您也可以导航到 用户 >> 更多操作 >>双因素身份验证来选择用户。

当启用了“PhoneFactor”作为双因素认证的方法后，如何登录到PAM360？

启用双因素验证的用户必须连续进行两次身份验证。如上所述，第一级身份验证将通过通常的身份验证，即PAM360本地认证/AD/LDAP认证。

启用TFA后，登录屏幕将在第一个页面中要求输入用户名，第二步中用户才会被提示输入密码。

使用PhoneFactor的 TFA - 工作流

双因素验证过程如下：

启动 PAM36登录界面后，用户输入用户名并点击"登录"
输入本地登录密码或AD/LDAP密码

第一重验证通过，请等待来自PhoneFactor的电话。
接听电话，输入#号或PIN值，完成第二重验证。

如果您已配置高可用性

如果您配置了高可用性，那么无论您启用还是更改TFA类型(PhoneFactor或RSA SecurID或一次性密码等)，都需要重启PAM360备服务器。


设置双因素验证 -PhoneFactor身份验证概述 ManageEngine的合作伙伴PhoneFactor是提供基于电话的双重身份验证的国际知名公司，为PAM360提供简单高效的双重身份验证。 PhoneFactor的工作原理是在登录过程中向您的手机拨打确认电话。当您通过了第一重身份验证，在第二重身份验证的时候，您要接听电话，拨#号键（或输入一个PIN，即个人识别号码），这样就可以通过基于电话的身份验证了。以下是PhoneFactor验证的整体过程：用户尝试访问PAM360 Web界面 PAM360 通过AD/LDAP/本地完成第一次身份验证 PAM360 提示您通过PhoneFactor进行第二次身份验证 PhoneFactor给您拨打电话。接听电话，拨#号键（或输入PIN值） PAM360允许用户访问 Web 界面启用PhoneFactor身份验证预曲站点在启用 PhoneFactor 身份验证之前，您需要购买PhoneFactor。详情请参阅 PhoneFactor网站。获取 PhoneFactor后，您您要确定身份验证的方法：是要在环境中安装PhoneFactor代理还是部署PhoneFactor Direct SDK。工作原理用户信息必须有电话号码。如果使用PhoneFactor代理方式，用户的信息（包括电话号码），将保存在代理中；如果使用SDK方式，将使用保存在PAM360数据库中的电话。当用户登录的时候，PhoneFactor拨打该用户的电话号码。启用PhoneFactor双因素验证的步骤如下：步骤摘要在 PAM360 中设置双因素验证确定PhoneFactor身份验证的方式，进行相关配置在 PAM360 中为需要的用户启用双因素验证步骤 1：在 PAM360 中设置双因素验证第一步是启用双因素验证。导航到管理 >> 身份验证 >> 双因素验证。选择PhoneFactor选项。点击保存。注意：在继续后面步骤之前，请检查所有需要PhoneFactor双重身份验证的用户都配置好了电话号码（可以使用固定电话或手机）。固定电话号格式如下： <国家代码><带区号的电话号码><分机号码（如果有）> 示例：+1 9259249500 292 手机号码格式如下： <国家代码> <手机号码> 步骤2：选择身份验证方法您可以选择部署PhoneFactor代理或PhoneFactor Direct SDK。 PhoneFactor代理 PhoneFactor代理运行在您网络中的Widnows主机上，它提供了一个配置向导来指引您配置使用PhoneFactor来强化PAM360的认证。PhoneFactor代理还支持与AD和LDAP集成，来使用集中管理的用户数据获。此外还提供全面的报表和审计日志。 Direct SDK 您也可以使用PhoneFactor Direct SDK ，它可用于与 PAM360 集成，并使用 PAM360 的数据库。注意：PhoneFactor代理方式支持输入PIN进行身份验证。Direct SDK方式只需要输入#号，不用输入PIN。部署PhoneFactor代理（注意：如果您已经安装了 PhoneFactor 代理，您可以跳过步骤1，直接到步骤 2。）在网络内的Windows服务器上获取并安装PhoneFactor代理的步骤如下：步骤 1：PhoneFactor代理配置因为电话号码存储在PhoneFactor代理中，安装后，您需要添加所有需要启用PhoneFactor双因素验证的用户及其电话号码。还可以和AD/LDAP集成，自动导入用户。如果用户第一重验证是使用本地身份验证，那么您需要手动输入用户及电话号。 PhoneFactor代理中添加的用户名要和PAM360中的一致。（即PAM360中的“PhoneFactor用户名”）。导入用户后，检查电话号码格式是否正确重要说明：用户信息及其电话号码保留在 PhoneFactor 代理中，也就是说，用户将只通过代理中指定的电话号码接收呼叫，所以，您在PAM360中修改电话号码时，也需要在代理上进行更改。同样，当您在PAM360 添加新用户时，如果要为该用户启用PhoneFactor验证，那么您也需要在PhoneFactor代理中添加该用户。否则，PhoneFactor将不起作用。步骤 2： PAM360 中的配置在PAM360的双因素验证设置页面中，选择"PhoneFactor代理" 输入访问PhoneFactor的信息，包括用户名、密码和代理服务器URL。 AM360和PhoneFactor代理间通过SSL通讯。所以，您需要把安装在Web Services SDK上的SSL证书导入到PAM360中。在安装PhoneFactor代理/Web Services SDK的时候，您可以使用自签名证书或CA签名的证书。在PAM360中，需要导入CA的根证书。如果您的PAM360已经在使用CA签名的证书，可以跳过该步。要导入CA 的根证书，请参考以下步骤：导航到PAM360安装目录/bin目录下执行importPhoneFactorCert.bat （在 Windows 中）或者importPhoneFactorCert.sh（在 Linux 中）（在Windows中）对于自签名证书 importPhoneFactorCert.bat <自签名证书的绝对路径> 对于CA签名的证书 importPhoneFactorCert.bat <CA根证书的绝对路径> （在Linux中）对于自签名证书 sh importPhoneFactorCert.sh <自签名证书的绝对路径> 对于CA签名的证书 sh importPhoneFactorCert.sh <CA根证书的绝对路径> 重启 PAM360 服务器 PAM360导入了CA根证书后，以后就可以使用该CA签名的所有证书了。执行步骤 3- 在PAM360中对需要的用户启用双因素验证。注意：如果您的企业网络需要代理服务器才能连接互联网，请配置代理服务器，使PAM360连接到PhoneFactor网站：PMP>>> 管理 >>> 全局 >>> 代理服务器设置。在PAM360高可用性部署中的备用服务器上配置PhoneFactor代理如果在PAM360中配置了高可用性，并选择部署 PhoneFactor 代理，也需要在PAM360备服务器中导入证书，步骤如上所述。如果您使用的是由第三方 CA 签名的证书，可以跳过此步骤。部署PhoneFactor Direct SDK方式步骤 1： SDK中的配置 PhoneFactor jar文件已经包含在PAM360中，如果您购买了PhoneFactor，请按照下面步骤2所述提供许可。步骤 2： PAM360中的配置检查相应的PAM360用户是否配置好了电话号码，和PhoneFactor代理方式的主要不同是用户及其电话保存在PAM360数据库中。在PhoneFactor界面中，指定PhoneFactor的许可文件、PhoneFactor证书和私钥密码。(这些文件位于PhoneFactor SDK文件夹中) 继续执行步骤 3- 在PAM360中选择用户，启用双因素验证。注意：如果您的企业网络需要代理服务器才能连接互联网，请配置代理服务器，使PAM360连接到PhoneFactor网站：PMP>>> 管理 >>> 全局 >>> 代理服务器设置。在PAM360高可用性部署中的备服务器上配置PhoneFactor Direct SDK：如果在 PAM360 中配置了高可用性，并选择 PhoneFactor Direct SDK模式，则需要在PAM360备服务器中执行以下配置：导航到<PAM360主安装目录/licenses>文件夹下复制 license.xml和cert.p12 导航到<PAM360备服务器安装目录/licenses>文件夹下粘贴这两个文件步骤 3：为需要的用户启用双因素验证在上一步中确认将PhoneFactor作为身份验证的第二个因素后，页面将自动弹出窗口提示您选择用户。您可以批量启用或禁用单个用户或多个用户的双因素验证。若要为单个用户启用双因素验证，请单击用户名旁边的“启用”按钮。对于多个用户，选择所需的用户名，然后点击用户列表顶部的“启用”按钮，同样，您也可以从这里“禁用”双因素验证。您也可以导航到用户 >> 更多操作 >>双因素身份验证来选择用户。当启用了“PhoneFactor”作为双因素认证的方法后，如何登录到PAM360？启用双因素验证的用户必须连续进行两次身份验证。如上所述，第一级身份验证将通过通常的身份验证，即PAM360本地认证/AD/LDAP认证。启用TFA后，登录屏幕将在第一个页面中要求输入用户名，第二步中用户才会被提示输入密码。使用PhoneFactor的 TFA - 工作流双因素验证过程如下：启动 PAM36登录界面后，用户输入用户名并点击"登录" 输入本地登录密码或AD/LDAP密码第一重验证通过，请等待来自PhoneFactor的电话。接听电话，输入#号或PIN值，完成第二重验证。如果您已配置高可用性如果您配置了高可用性，那么无论您启用还是更改TFA类型(PhoneFactor或RSA SecurID或一次性密码等)，都需要重启PAM360备服务器。
© 2021， ZOHO 公司，保留所有权利。