启用多因素认证MFA后,终端用户登录客户端时,在输入密码后还需输入MFA安全码,实现两层登录保护,可以提高用户账号的安全性。本文介绍如何为AD用户设置MFA。
背景信息
多因素认证MFA(Multi-factor authentication)是一种简单有效的安全实践,可以在用户名和密码之外再增加一层安全保护。启用MFA后,终端用户在登录客户端时,系统将校验两层安全要素,即在用户名和密码(第一层安全要素)的基础上,增加了MFA安全码(第二层安全要素,MFA设备生成的动态验证码),以此提高账号安全性。
MFA设备遵循TOTP算法,能够基于时间产生6位数字的动态验证码,它可以基于硬件也可以基于软件,弹性云桌面支持基于软件的虚拟MFA设备。您可以在移动设备(如智能手机)上安装支持虚拟MFA的软件(如阿里云APP),以此来作为虚拟MFA设备。
- RAM
RAM用户基于阿里云RAM账号体系,您可以以阿里云账号登录RAM控制台,为RAM用户启用MFA并绑定虚拟MFA设备。具体操作,请参见为RAM用户启用多因素认证。
- AD
AD用户基于企业自有AD,通过AD目录的方式接入弹性云桌面。如果AD目录启用了MFA,则该目录下的所有AD用户将全部启用MFA。您需要在弹性云桌面控制台为AD目录启用MFA,AD用户在首次登录客户端时可以绑定虚拟MFA设备。
AD目录启用MFA
在创建AD目录时,您可以启用MFA。如果没有启用,您可以通过以下方式修改。
AD用户绑定虚拟MFA设备
绑定虚拟MFA设备的操作步骤如下:
删除AD用户绑定的虚拟MFA设备
- 更换手机等原因导致不再使用当前绑定的虚拟MFA设备,需要重置设备。
- 当前绑定的虚拟MFA设备已经被锁定,暂时无法使用。
说明 在AD用户已经绑定了虚拟MFA设备的情况下,如果在输入安全码验证时,连续错误次数超过了5次,系统将锁定该设备1个小时。在锁定期间,如果想要登录云桌面,可以调用UnlockVirtualMFADevice进行解锁,或者删除该设备,重新绑定新的虚拟MFA设备。
删除虚拟MFA设备的操作步骤如下: