[]
为了满足客户对于安全性的更高要求,我们提供了“双因子认证”功能,开启该功能后,用户在登录页面输入正确的用户名和密码并点击“登录”按钮后,会收到一个6位的验证码,正确输入该验证码后才能最终成功登录到系统。开启该功能可以有效地阻止用户名密码泄露后,数据被别人查看甚至下载导出等安全隐患。
该功能默认是关闭的,需要系统管理员登录到系统管理页面,依次单击「系统管理>安全设置>双因子认证」,在该界面手动开启。
目前支持通过邮件和短信两种方式发送验证码。
安全提供程序,单点登录,和钉钉/企业微信等集成用户不受此功能的影响。
系统管理员登录后,依次单击「系统管理>安全设置>双因子认证」,进入双因子认证界面,在该界面可以针对双因子认证功能进行开启或关闭。开启后可进行其他配置。
启用后,即可配置其他相关属性(如认证方式、有效期等),完善双重验证的安全策略。
有效期(分钟)的时间限制,最低1分钟。
验证方式支持邮件和短信两种方式。
验证方式选择邮箱时,需提前在通知中心完成邮件服务配置并通过发送测试,以确保双因子认证功能正常启用。
验证方式选择邮箱,并根据您的需要输入邮件主题和邮件正文。
type=info
注意: 在邮件正文中,您必须输入字符“{@code}”,否则无法保存设置。用户在收到的邮件中,该字符会被替换为真实的验证码。
系统管理员需通过验证码接收测试确认邮箱有效性后,方可保存设置并启用双因子认证;若测试成功但未收到验证码(如邮箱填写错误),请务必核对邮箱地址及配置直至成功接收测试验证码,再完成最终设置。
配置示例。
验证方式选择短信,并根据您的需要输入阿里云短信服务提供的“AccessKeyId”,“AccessKeySecret”,“签名”,和“模板代码”等信息。阿里云短信服务有关的详细信息可用参考 https://www.aliyun.com/product/sms。所有的信息输入完成后,需要先单击“测试设置”并成功发送验证码后,您才能保存该设置。
type=info
注意: 系统管理员需通过短信验证码接收测试确认手机号有效性后,方可启用双因子认证;若测试成功但未收到验证码(如号码填写错误),必须核对号码信息及短信配置直至成功接收验证码,方能完成最终设置。
配置示例。
双因子认证功能开启后,用户登录的时候需要先输入用户名和密码,验证通过后会跳转到验证码输入页面,用户输入正确的验证码后才能正常登录并使用系统。
验证码验证失败后,需要重新输入,或者返回登录页面,输入用户名和密码后,请求发送新的验证码。
验证码在下列几种情况下会失效,需要重新返回到登录页面,输入用户名密码并请求新的验证码。
验证码失效情况:
验证码发送后超过设置的超时时间。
单server环境下,服务重启之后,之前发送的验证码会失效。
同一个用户在请求了新的验证码之后,该用户之前请求的验证码会失效。
在开启了双因子认证功能后,如果发生了一些异常情况(比如负责发送验证码的邮箱服务器宕机了,或者阿里云账号欠费了无法发送短信)导致验证码无法正常接收,从而导致用户无法登录系统,该功能也无法关闭。此时有两种方式可以关闭该功能,让用户可以正常登录系统。
方式一: 使用安全提供程序,单点登录,或者钉钉/企业微信等集成用户登录到系统,然后进入系统管理页面,关闭双因子认证功能。
优点: 使用这种方式不需要修改任何服务配置,不需要重启服务。
缺点: 使用这种方式要求登录的集成用户具有系统管理员的角色。
方式二: 修改配置文件,在Server节点下添加一个名为DisableTfa的节点,并设置其值为true。
<Server>
<DisableTfa>true</DisableTfa>
</Server>
type=info
注意:
修改配置文件后,需要重启服务,该配置项才能生效。
如果是多Server部署,需要修改每个服务器节点的配置文件并重启服务。
