二次认证是在用户完成首次登录(如输入密码)后,额外增加的一道安全验证步骤,旨在极大提升账户安全性,防止因密码泄露导致的安全问题。
一、配置二次认证模式
IDaaS提供了两种灵活的开启模式,以适应不同安全级别的需求。
|
模式名称
|
使用场景
|
说明
|
|
智能模式(推荐)
|
当系统检测到以下异常或高风险情景时,将自动触发二次验证,以确保是您本人操作:
1.登录环境异常
包括在非常用地理位置、陌生网络环境或通过代理/VPN登录。
2.登录设备异常
使用未经识别的设备或浏览器进行访问。
3.用户行为异常
如短时间内多次尝试登录失败,或在非工作时间发起登录。
4.操作内容敏感
当您尝试访问管理员控制台、修改关键安全设置时。
|
系统根据风险策略智能判断是否需要触发二次认证。对正常登录行为无打扰,仅在风险场景下要求验证,在保障安全的同时优化用户体验。
|
|
常开模式
|
1.对安全性要求极高的政企单位。
2.监管合规要求必须每次登录都做强认证的场景。
3.管理员账号等特权账户。
|
开启后,用户每一次登录都必须二次认证验证通过后,才能登录成功。
|
二、支持的二次认证方式
管理员可以同时开启多种二次认证方式,用户在触发MFA时可以自由选择其中一种完成验证。
|
方式
|
说明与前提
|
|
OTP 动态口令
|
- 使用亿登令牌微信小程序等OTP应用生成6位动态码。
|
|
短信验证码
|
- 向账户绑定的手机号发送6位验证码。
- 前提:用户账户必须已绑定有效的手机号。
|
|
邮箱验证码
|
- 向账户绑定的邮箱地址发送6位验证码。
- 前提:用户账户必须已绑定有效的邮箱。
|
|
WebAuthn
|
- 使用物理安全密钥(如YubiKey)或生物识别(指纹、面部)进行认证。
- 特点:硬件级安全,能有效防止钓鱼攻击。
|
重要提示:
如果某个IDaaS账户没有绑定任何已启用的二次认证方式,则该账户将无法通过二次认证,可能导致登录失败。因此,管理员必须确保所有需要登录的账户都至少能使用一种可用的二次认证方式。
总结与最佳实践流程
将登录方式与二次认证结合,可以构建一个完整且坚固的身份验证防线:
1.首次认证(登录方式):用户通过 密码、扫码(企业微信、钉钉、飞书)、短信验证码 等方式完成第一道验证。
2.风险评估:系统根据管理员设置的 「智能模式」 策略判断本次登录风险。如果是 「常开模式」 则直接进入下一步。
3.二次认证(MFA):系统要求用户进行第二道验证,用户可从已绑定的 OTP、短信、邮箱、WebAuthn 等方式中任选其一完成验证。
通过这样分层、灵活的配置IDaaS使管理员能够精准地控制安全与用户体验的平衡,为企业应用提供强有力的身份安全保障。