设置双重身份验证 - RSA SecurID

(此功能只适用于白金版和企业版）

第一步：配置双重身份验证

第一步，需要先启用双重身份验证，

点击"管理"，点击"双重身份验证"
选择"RSA SecurID"。管理员可以选择按需启用RSA双重身份验证。

RSA SecurID

如果您的环境中有RSA Authentication Manager和RSA SecurID Appliance，可以将它与PMP进行集成作为第二级别身份验证。

PMP使用RSA APIs与RSA Authentication Manager进行通信。PMP会向RSA Authentication Manager发送用户凭证，RSA Authentication Manager会验证凭证并反馈状态给PMP服务器。

PMP - RSA SecurID集成

执行PMP-RSA SecurID集成的重要步骤。

在RSA Authentication Manager将PMP服务器注册为一个代理主机
生成RSA Authentication Manager配置文件，或者sdconf.rec文件。将sdconf.rec复制并粘贴到 <PMP_Installation_Folder>/bin目录。另外，一个节点密钥文件（securid）已存在，也要进行复制。
在RSA Authentication API配置文件(rsa_api.properties)中，将'RSA_AGENT_HOST'属性值修改为PMP服务器主机名称或者IP地址。该文件默认位于(<PMP Home>\bin)

重要提示：如果您正在使用PMP高可用性功能，您需要同样在辅助服务器执行以上步骤。

RSA SecurID双重身份验证 - 事件流

在验证发生之前，使用RSA安全控制台将所有需要的PMP用户输入到Authentication Manager，并在代理主机为他们指派令牌。需要确保RSA Authentication Manager中的用户名和PMP中的用户名保持一致。如果不相同的话，就需要做映射，而不要修改RSA中的用户名。我们可以通过编辑PMP用户属性文件来完成。 (假设，您已经从活动目录中向PMP导入了一个用户，叫做ADVENTNET\rob。在RSA Authentication Manager，假设与之相对应的用户名为'rob'。这种情况，他们用户名是不匹配的，所以您需要做一个映射，将PMP中的- ADVENTNET\rob映射到RSA Authentication Manager中的rob)。

如下流程是一个典型的PMP - RSA SecurID验证过程。注意，用户需要验证两次：第一次为本地验证或活动目录验证，第二次为RSA SecurID令牌验证。

用户访问PMP web界面
PMP用户进行AD、LDAP或本地认证
弹出对话框要求输入用户名和RSA SecurID密码，并通过RSA Runtime API将凭证发送到RSA Authentication Manager。
RSA Authentication Manager对用户进行验证并将结果返回给PMP。
验证通过后，PMP赋予用户访问请求的资源权限。

第二步：为所需用户开启双重身份验证

在上面第一步，您已经选择了RSA SecurID作为双重身份验证。现在请选择需要对哪些用户执行双重身份验证。

为用户开启双重身份验证的步骤，

点击"管理" >> "用户"
点击"设置双重身份验证"
在弹出的界面，选择哪些用户需要开启双重身份验证
点击"保存"

开启双重身份验证（TFA）后，如何访问PMP web界面？

一旦用户被开启了双重身份验证，就必须要成功验证两次，才可以登录PMP。如上所述，第一层验证是常规验证，即本地、AD或LDAP验证。根据管理员选择的双重身份验证不同类型，第二级别验证也会不同，如下所示：

提示：开启双重身份验证后，在登录PMP时会首先要求输入用户名。在下一个页面输入密码。

RSA SecurID - 工作流

如果管理员选择了RSA SecurID作为第二级别的验证，则解释如下：

打开PMPweb界面时，用户需要输入PMP登录名并点击“登录”。

在“密码”输入框中，输入本地、AD或LDAP验证的密码。
在“RSA密码”输入框中，输入RSA SecurID安全密码。密码可以是PIN码和一个令牌码的组合，或者单独的令牌码，或者根据您在RSA Authentication Manager的配置按需输入PIN码。
如果您希望使用RSA作为双重身份验证，就需要按照下面的情景3中的介绍输入令牌码。

使用RSA SecurID作为双重身份验证：登录到PMP时的不同情景

情景1：输入用户生成的或系统创建的PIN码

如上所述，RSA密码可以是PIN和令牌码的组合，或者单独的令牌码，或者根据您在RSA Authentication Manager的配置按需输入密码。如果在RSA安全控制台中，您配置了用户需要在RSA安全控制台创建一个个人的PIN码或者使用系统生成的PIN码，那么在第二步（指的是，在输入完第一个密码和RSA令牌码之后）之后，如下画面将会显示。

提示：一个令牌PIN码的创建方法在令牌策略里设置。

用户创建的PIN

对于这种情况，用户将会被要求输入他们的PIN码。PIN码应该包含数字字符 = 最小4个，最大8个字符。输入完PIN码，用户需要等待RSA令牌变为新值。然后，在下个画面，输入新的PIN码以及RSA令牌进行验证。

系统创建的PIN

对于这种情况，PMP需要随机生成一个PIN码，它会被显示在屏幕上。用户需要记下新的PIN并等待RSA令牌变为新值。然后，在下一个画面，用户需要输入由系统生成的PIN码和RSA令牌进行验证。

情景2：新的令牌码模式

如果用户想要使用随机生成的RSA密码或要求限制输入次数的密码，RSA Authentication Manager将会从当前画面跳转到下一个令牌码模式，验证用户的令牌。这时，PMP会在登录过程中弹出下一个令牌码。用户需要等待RSA设备显示新的令牌码，并使用该令牌码登录到PMP。

提示：如果用户输入的新令牌码不正确，PMP会返回登录界面。用户必须再次进行输入。

情景3：令牌码模式

在配置了RSA按需身份验证，您需要提供令牌码才能登录到PMP。令牌码会被发送到您在RSA按需认证系统的注册邮箱。

如果您配置了高可用性

一旦您启用了双重身份验证或改变了双重身份验证类型（PhoneFactor，RSA SecurID或一次性密码）并且如果您配置了高可用性，您需要重启PMP辅助服务器。


设置双重身份验证 - RSA SecurID (此功能只适用于白金版和企业版）第一步：配置双重身份验证第一步，需要先启用双重身份验证，点击"管理"，点击"双重身份验证" 选择"RSA SecurID"。管理员可以选择按需启用RSA双重身份验证。 RSA SecurID 如果您的环境中有RSA Authentication Manager和RSA SecurID Appliance，可以将它与PMP进行集成作为第二级别身份验证。 PMP使用RSA APIs与RSA Authentication Manager进行通信。PMP会向RSA Authentication Manager发送用户凭证，RSA Authentication Manager会验证凭证并反馈状态给PMP服务器。 PMP - RSA SecurID集成执行PMP-RSA SecurID集成的重要步骤。在RSA Authentication Manager将PMP服务器注册为一个代理主机生成RSA Authentication Manager配置文件，或者sdconf.rec文件。将sdconf.rec复制并粘贴到 <PMP_Installation_Folder>/bin目录。另外，一个节点密钥文件（securid）已存在，也要进行复制。在RSA Authentication API配置文件(rsa_api.properties)中，将'RSA_AGENT_HOST'属性值修改为PMP服务器主机名称或者IP地址。该文件默认位于(<PMP Home>\bin) 重要提示：如果您正在使用PMP高可用性功能，您需要同样在辅助服务器执行以上步骤。 RSA SecurID双重身份验证 - 事件流在验证发生之前，使用RSA安全控制台将所有需要的PMP用户输入到Authentication Manager，并在代理主机为他们指派令牌。需要确保RSA Authentication Manager中的用户名和PMP中的用户名保持一致。如果不相同的话，就需要做映射，而不要修改RSA中的用户名。我们可以通过编辑PMP用户属性文件来完成。 (假设，您已经从活动目录中向PMP导入了一个用户，叫做ADVENTNET\rob。在RSA Authentication Manager，假设与之相对应的用户名为'rob'。这种情况，他们用户名是不匹配的，所以您需要做一个映射，将PMP中的- ADVENTNET\rob映射到RSA Authentication Manager中的rob)。如下流程是一个典型的PMP - RSA SecurID验证过程。注意，用户需要验证两次：第一次为本地验证或活动目录验证，第二次为RSA SecurID令牌验证。用户访问PMP web界面 PMP用户进行AD、LDAP或本地认证弹出对话框要求输入用户名和RSA SecurID密码，并通过RSA Runtime API将凭证发送到RSA Authentication Manager。 RSA Authentication Manager对用户进行验证并将结果返回给PMP。验证通过后，PMP赋予用户访问请求的资源权限。第二步：为所需用户开启双重身份验证在上面第一步，您已经选择了RSA SecurID作为双重身份验证。现在请选择需要对哪些用户执行双重身份验证。为用户开启双重身份验证的步骤，点击"管理" >> "用户" 点击"设置双重身份验证" 在弹出的界面，选择哪些用户需要开启双重身份验证点击"保存" 开启双重身份验证（TFA）后，如何访问PMP web界面？一旦用户被开启了双重身份验证，就必须要成功验证两次，才可以登录PMP。如上所述，第一层验证是常规验证，即本地、AD或LDAP验证。根据管理员选择的双重身份验证不同类型，第二级别验证也会不同，如下所示：提示：开启双重身份验证后，在登录PMP时会首先要求输入用户名。在下一个页面输入密码。 RSA SecurID - 工作流如果管理员选择了RSA SecurID作为第二级别的验证，则解释如下：打开PMPweb界面时，用户需要输入PMP登录名并点击“登录”。在“密码”输入框中，输入本地、AD或LDAP验证的密码。在“RSA密码”输入框中，输入RSA SecurID安全密码。密码可以是PIN码和一个令牌码的组合，或者单独的令牌码，或者根据您在RSA Authentication Manager的配置按需输入PIN码。如果您希望使用RSA作为双重身份验证，就需要按照下面的情景3中的介绍输入令牌码。使用RSA SecurID作为双重身份验证：登录到PMP时的不同情景情景1：输入用户生成的或系统创建的PIN码如上所述，RSA密码可以是PIN和令牌码的组合，或者单独的令牌码，或者根据您在RSA Authentication Manager的配置按需输入密码。如果在RSA安全控制台中，您配置了用户需要在RSA安全控制台创建一个个人的PIN码或者使用系统生成的PIN码，那么在第二步（指的是，在输入完第一个密码和RSA令牌码之后）之后，如下画面将会显示。提示：一个令牌PIN码的创建方法在令牌策略里设置。用户创建的PIN 对于这种情况，用户将会被要求输入他们的PIN码。PIN码应该包含数字字符 = 最小4个，最大8个字符。输入完PIN码，用户需要等待RSA令牌变为新值。然后，在下个画面，输入新的PIN码以及RSA令牌进行验证。系统创建的PIN 对于这种情况，PMP需要随机生成一个PIN码，它会被显示在屏幕上。用户需要记下新的PIN并等待RSA令牌变为新值。然后，在下一个画面，用户需要输入由系统生成的PIN码和RSA令牌进行验证。情景2：新的令牌码模式如果用户想要使用随机生成的RSA密码或要求限制输入次数的密码，RSA Authentication Manager将会从当前画面跳转到下一个令牌码模式，验证用户的令牌。这时，PMP会在登录过程中弹出下一个令牌码。用户需要等待RSA设备显示新的令牌码，并使用该令牌码登录到PMP。提示：如果用户输入的新令牌码不正确，PMP会返回登录界面。用户必须再次进行输入。情景3：令牌码模式在配置了RSA按需身份验证，您需要提供令牌码才能登录到PMP。令牌码会被发送到您在RSA按需认证系统的注册邮箱。如果您配置了高可用性一旦您启用了双重身份验证或改变了双重身份验证类型（PhoneFactor，RSA SecurID或一次性密码）并且如果您配置了高可用性，您需要重启PMP辅助服务器。
版权所有 ©2016, 卓豪（北京）技术有限公司，保留一切权利。