PhoneFactor身份验证
(仅白金版和企业版提供该功能)
概览
卓豪的合作伙伴PhoneFactor,是提供基于电话的双重身份验证的国际知名公司。为Password Manager Pro提供简单高效的双重身份验证。
PhoneFactor在你登录过程中,拨打确认电话。当你通过了第一重身份验证后,在第二重身份验证的时候,你要接听电话,拨#号键(或输入一个PIN,即个人识别号码),这样就可以通过基于电话的身份验证了。
以下是PhoneFactor身份验证的整体过程:
- 用户打开PMP Web客户端。
- PMP要求用户通过本地、活动目录或LDAP完成第一次身份验证。
- PMP提示将通过PhoneFactor进行第二次身份验证。
- PhoneFactor给你拨打电话。接听电话,拨#号键(或输入PIN值)。
- PMP通过用户登录。
启用PhoneFactor身份验证
前提条件
在启用PhoneFactor身份验证之前,你要购买PhoneFactor。请访问PhoneFactor网站。你要确定身份验证的方法,是要在本地安装PhoneFactor代理或者部署PhoneFactor Direct SDK。
PhoneFactor和PMP如何一起工作的?
你要为每个用户指定电话号码。如果使用PhoneFactor代理方式,用户信息,包括电话号码,由代理保存。如果使用Direct SDK方式,电话号码保存在PMP数据库中。 当用户登录的时候,PhoneFactor拨打该用户的电话号码。
启用PhoneFactor双重身份验证的详细步骤如下:
总体步骤:
- 在PMP中设置双重身份验证。
- 确定PhoneFactor身份验证的方式,进行配置。
- 在PMP中为需要的用户启用双重身份验证。
步骤1:在PMP中设置双重身份验证
- 打开“管理”,点击“双重身份验证”。
- 选择“PhoneFactor”
说明:在继续后面步骤之前,请检查所有需要PhoneFactor双重身份验证的用户都配置好了电话号码。可以使用固定电话或手机。
固定电话号格式如下:
<国家码> <区号和电话号> <分机号(如果有)>
例如: 1 9259249500 292
手机号格式如下:
<国家码> <手机号>
步骤2: 确定PhoneFactor身份验证的方式
PhoneFactor代理
PhoneFactor代理运行在你网络中的Widnows主机上。提供配置向导来和Password Manager Pro一起使用。PhoneFactor代理还支持活动目录和LDAP,来获取用户信息。所有用户信息都存储在你的网络中,保证信息安全。并且提供全面的报表和审计日志。
Direct SDK
你还可以使用PhoneFactor Direct SDK,和Password Manager Pro进行集成,并使用PMP的数据库。
说明:PhoneFactor代理方式支持输入PIN进行身份验证。Direct SDK方式只需要输入#号,不用输入PIN。
如果要部署PhoneFactor代理
(说明:如果你已经安装过PhoneFactor代理,可以直接跳到步骤2)。
获取并安装PhoneFactor代理。安装过程如下:
步骤1:PhoneFactor代理配置
- 因为电话号码存储在PhoneFactor代理,安装后,你要添加所有需要PhoneFactor双重身份验证的用户及其电话号码。 还可以和活动目录/LDAP集成,自动导入用户。如果用户第一重使用本地身份验证,要手动输入用户及电话号。
- PhoneFactor代理中添加的用户名要和PMP中的一致。(即PMP中的“PhoneFactor用户名”)。
- 导入用户后,确认电话格式是否正确。
重要说明:用户信息和电话号码存储在PhoneFactor代理中,就是说你要修改或添加用户,也要在代理中做相应的修改。
步骤2:PMP配置
- 在双重身份验证配置页面输入访问PhoneFactor的信息,包括用户名、密码和代理服务器URL。
- PMP和PhoneFactor代理间通过SSL通讯。所以,你要把在安装Web Services SDK是的SSL证书导入到PMP中。
在安装PhoneFactor代理/Web Services SDK的时候,你可以使用自签名证书或CA签名的证书。在PMP中,需要导入CA的根证书。如果你的PMP已经在使用CA签名的证书了,可以跳过该步。
导入CA根证书
- 打开"PMP_安装目录>/bin"
- 执行importPhoneFactorCert.bat (Windows)或者importPhoneFactorCert.sh (Linux) :
- 重新启动PMP服务器。
- PMP导入了CA根证书后,以后就可以使用该CA签名的所有证书了。
- 跳到步骤3 - 在PMP选择用户,启用双重身份验证。
(Windows)
对于自签名证书
importPhoneFactorCert.bat <自签名证书绝对路径>
对于CA签名的证书
importPhoneFactorCert.bat <CA根证书绝对路径>
(In Linux)
对于自签名证书
sh importPhoneFactorCert.sh <绝对路径自签名证书>
对于CA签名的证书
sh importPhoneFactorCert.sh <CA根证书绝对路径>
说明:如果PMP需要代理才能连接到PhoneFactor网站,请配置代理服务器:PMP客户端 >>> 管理 >>> 全局 >>> 代理服务器设置。
在PMP高可用性部署中的备用服务器上配置PhoneFactor代理
也要在备用服务器上导入证书。步骤如上所述。步骤如上所述。
部署PhoneFactor Direct SDK方式
步骤1:SDK中的配置
PhoneFactor jar文件已经包含在Password Manager Pro中,如果你购买了PhoneFactor,要安装下面的步骤提供许可文件。
步骤2:PMP中的配置
- 检查相应的PMP用户是否配置好了电话号码。和PhoneFactor代理方式的主要不同是用户及其电话保存在PMP数据库中。
- 在PhoneFactor界面中,指定PhoneFactor的许可文件、PhoneFactor证书、和私钥密码。(这些文件位于PhoneFactor SDK文件夹中。)
- 跳到步骤3 - 在PMP选择用户,启用双重身份验证。
说明:如果PMP需要代理才能连接到PhoneFactor网站,请配置代理服务器:PMP客户端 >>> 管理 >>> 全局 >>> 代理服务器设置。
在PMP高可用性部署中的备用服务器上配置PhoneFactor Direct SDK
- 打开<PMP_主_安装目录>/licenses文件夹。
- 复制license.xml和cert.p12到<PMP_备_安装目录>/licenses文件夹中。
步骤3:为需要的用户启用双重身份验证
- 打开“管理” >> “用户” >> “更多动作” >> “设置双重身份验证”
- 在打开的窗口中,选择需要双重身份验证的用户。
- 点击“保存”
当启用了PhoneFactor双重身份验证后如何登录PMP?
双重身份验证过程如下:
- 首先要完成第一重身份验证。
- 输入密码,是本地舍身份验证或活动目录/LDAP身份验证。
- 第一重验证通过,请等待来自PhoneFactor的电话。
- 接听电话,输入#号或PIN值。完成第二重验证。
对于高可用性部署
配置完成双重身份验证后,要重新启动备用服务器。