设置双因素验证 - 通过电子邮件发送一次性密码

如果选择此选项，在第一级身份验证后， PAM360将随机生成一个密码并发送给用户配置的邮件地址。 用户必须输入通过电子邮件发送的密码才能完成第二级验证。 第二级密码由PAM360产生并发送，仅适用于web界面的特定会话。如果用户注销后者尝试再次登录，他将不能使用之前邮箱发送的相同密码来验证， 用户必须再次获取通过电子邮件发送的密码并输入其进行身份验证。

步骤摘要:

• 在PAM360中配置双因素验证。
• 对所需用户开启双因素验证。

步骤 1：在PAM360中配置双因素验证

• 导航到管理 >> 验证 >> 双因素验证。
• 选择通过邮件发送一次性密码。
• 点击保存。

• 点击确认将通过邮件发送一次性密码设置为双因素验证的第二个因素。

步骤 2：为所需用户开启双因素验证

• 当您确认将“通过邮件发送一次性密码”设置为双因素认证的第二个因素，页面将弹出新窗口，并提示您选择需要开启双因素验证的用户。
• 您可为单个用户或批量为多个用户启用或禁用双因素验证。 为单个用户启用双因素验证，请单击相应用户名旁边的启用。 为多个用户启用，请选择所需的用户名，然后点击用户列表顶部的启用。 类似的，您也可以禁用双因素验证。

• 您也可以通过导航到用户 >> 更多操作 >>双因素验证来选择用户。

当启用了“通过邮件发送一次性密码”作为双因素认证的方法时，如何登录到PAM360？

启用双因素验证的用户必须连续进行两次身份验证。 如上所述，一级身份验证将经过通常的身份验证，即用户必须通过PAM360 的本地、AD或LDAP/Azure AD验证。 如果管理员选择"通过邮件发送一次性密码"为双因素认证，验证过程如下：

• 启用双因素验证的用户必须完成两次身份验证才能登陆到PAM360。
• 第一级别的身份验证成功之后,PAM360将生成一个随机密码并通过邮件发送给用户。
• 用户从电子邮件中获取密码并输入。
• 如果二级身份验证成功，用户就可以登录PAM360 Web界面了。

如果您已配置高可用性

如果您已经配置了高可用性，那么无论开启双因素验证还是更改双因素验证类型（PhoneFactor、RSA SecurID、通过邮件发送一次性密码或Google身份验证），都需要重启PAM360辅助服务器。