启用多因素认证MFA后,终端用户登录客户端时,在输入密码后还需输入MFA安全码,实现两层登录保护,可以提高用户账号的安全性。本文介绍如何为AD用户设置MFA。
背景信息
多因素认证MFA(Multi-factor authentication)是一种简单有效的安全实践,可以在用户名和密码之外再增加一层安全保护。启用MFA后,终端用户在登录客户端时,系统将校验两层安全要素,即在用户名和密码(第一层安全要素)的基础上,增加了MFA安全码(第二层安全要素,MFA设备生成的动态验证码),以此提高账号安全性。
MFA设备遵循TOTP算法,能够基于时间产生6位数字的动态验证码,它可以基于硬件也可以基于软件,弹性云桌面支持基于软件的虚拟MFA设备。您可以在移动设备(如智能手机)上安装支持虚拟MFA的软件(如阿里云APP),以此来作为虚拟MFA设备。
对于不同类型目录下的终端用户,设置多因素认证MFA的方式如下:
- RAM
RAM用户基于阿里云RAM账号体系,您可以以阿里云账号登录RAM控制台,为RAM用户启用MFA并绑定虚拟MFA设备。具体操作,请参见为RAM用户启用多因素认证。
- AD
AD用户基于企业自有AD,通过AD目录的方式接入弹性云桌面。如果AD目录启用了MFA,则该目录下的所有AD用户将全部启用MFA。您需要在弹性云桌面控制台为AD目录启用MFA,AD用户在首次登录客户端时可以绑定虚拟MFA设备。
AD目录启用MFA
在创建AD目录时,您可以启用MFA。如果没有启用,您可以通过以下方式修改。
AD用户绑定虚拟MFA设备
如果AD用户所属的AD目录启用了MFA,则该AD用户在首次登录客户端时,需绑定虚拟MFA设备。您可以在智能手机上安装支持虚拟MFA的软件(以阿里云APP为例),以此来作为虚拟MFA设备。
说明 根据手机的操作系统类型,您可以在App Store或者应用市场搜索阿里云,下载并安装阿里云APP。
绑定虚拟MFA设备的操作步骤如下:
- 双击
打开客户端。 - 按照页面提示,扫码绑定虚拟MFA设备。
- 在手机端打开阿里云APP,扫描客户端页面展示的二维码,然后单击确定。
- 在客户端页面输入阿里云APP中虚拟MFA页面展示的6位数字的安全码,单击确定开启。
- 如果输入MFA安全码的连续错误次数超过5次,则认为绑定失败,系统将禁用该虚拟MFA设备。您需要重新登录客户端,绑定新的虚拟MFA设备。
- 如果输入的MFA安全码验证成功,则认为绑定成功,将直接登录展示云桌面列表。下次登录时,在输入用户名和密码后,可以直接输入对应的MFA安全码进行验证。
删除AD用户绑定的虚拟MFA设备
在以下场景下,您可能需要删除AD用户当前绑定的虚拟MFA设备。
- 更换手机等原因导致不再使用当前绑定的虚拟MFA设备,需要重置设备。
- 当前绑定的虚拟MFA设备已经被锁定,暂时无法使用。
说明 在AD用户已经绑定了虚拟MFA设备的情况下,如果在输入安全码验证时,连续错误次数超过了5次,系统将锁定该设备1个小时。在锁定期间,如果想要登录云桌面,可以调用UnlockVirtualMFADevice进行解锁,或者删除该设备,重新绑定新的虚拟MFA设备。
删除虚拟MFA设备的操作步骤如下:
- 在云桌面管理页面,找到用户使用的云桌面,单击对应操作列中的图标
,选择管理用户MFA设备。在弹出页面,您可以查看该云桌面对应用户的用户名及其绑定的虚拟MFA设备序列号。
