最近更新时间:2024.03.29 15:12:51
首次发布时间:2023.04.26 11:07:54
多因素认证功能用于对员工身份进行二次校验,以增强员工账号的安全性。本文介绍如何配置多因素认证。
登录飞连管理后台。
在左侧导航栏,选择账号配置。
在账号配置页面,单击多因素认证页签。
在认证方式区域,查看飞连支持的认证方式,其中动态口令与邮箱验证码支持手动配置。
说明
在各类认证方式的卡片内,单击示例可查看当前认证方式的实现效果。
认证方式 | 说明 |
---|---|
动态口令 | 用户可以通过飞连客户端查看动态口令。飞连提供了内置的动态口令服务,同时也支持企业自定义动态口令。点击配置可查看当前正在使用的动态口令服务,您还可以根据实际需求调整所使用的动态口令服务。飞连动态口令及企业自定义动态口令的配置说明,请参见下文动态口令配置说明。 |
邮箱验证码 | 飞连服务向员工邮箱发送验证码进行认证。该方式需要您单击配置,前往通知配置中的邮件配置功能中完成企业邮件网关配置。具体操作,请参见管理邮件配置。 |
短信验证码 | 飞连服务向员工手机发送短信验证码进行认证。 |
推送认证 | 该认证方式仅适用于员工连接 VPN 时进行二次认证。当员工在桌面端的飞连客户端内进行 VPN 连接时,需要前往手机端的飞连客户端完成推送认证。 |
说明
在生效场景说明右侧单击展开,可查看各类认证方式在移动端、桌面端、浏览器内的生效情况。
飞连提供了内置的动态口令服务,同时也支持企业自定义动态口令。关于这两种动态口令服务的具体说明如下:
在动态口令认证选择区域,选择动态口令选项卡。
在高级策略区域,按照以下说明完成配置,并单击立即生效。
字段 | 说明 |
---|---|
动态口令生成规则 | 飞连支持按账号级别和按设备级别设置动态口令的生成规则。具体说明如下:
说明 如果您需要切换动态口令的生成规则,在完成切换后,每个员工的移动端设备中的动态口令将根据新的生成规则进行刷新。因此,需要员工重新启动终端设备。 |
飞连手机端动态口令展示 | 选择开启飞连手机端动态口令展示策略。该策略开启后,员工可以在飞连手机端查看动态口令;该策略关闭时,员工无法在飞连手机端查看动态口令。 |
允许第三方口令验证器绑定 | 选择开启允许第三方口令验证器绑定策略。该策略开启后,员工可在飞连门户网站自行绑定第三方口令验证器。此外,您需要继续指定在员工绑定第三方口令验证器前,是否需要进行二次身份校验:
|
在动态口令认证选择区域,选择自定义动态口令选项卡。
按照以下说明完成配置,并单击立即生效。
区域 | 说明 |
---|---|
配置说明 | 参考配置说明中的请求示例和响应示例完成参数配置。 |
参数配置 | 在该区域,您可以配置以下参数:
|
连通性检测 | 选择一个用户账号,用于测试网络连通性,确保 HTTP 请求参数配置无误,且能正常访问公网。 说明 请您务必确保该用户账号存在于企业数据源内,若该用户账号为飞连内新建账号,则您需要将该账号同步至企业数据源后,再进行连通性测试,否则将导致连通性测试失败。 |
在多因素认证页签的认证场景区域,手动配置员工登录飞连、员工连接 VPN 以及员工获取入网凭证(Wi-Fi、有线) 认证场景。每个认证场景由独立开关控制,您可以选择启用指定场景的多因素认证。
以下表格罗列了不同的认证方式适配的场景。
认证方式 | 移动端(iOS、Android) | 桌面端(MacOS、Windows、Linux) | 浏览器 |
---|---|---|---|
动态口令 |
| 全支持 | 全支持 |
短信验证码 |
| 全支持 | 全支持 |
邮箱验证码 |
| 全支持 | 全支持 |
推送认证 | 不支持 |
| 不支持 |
开启二次认证后,所有登录方式均需要二次认证,包括飞连账号登录、LDAP 账号登录以及第三方平台授权登录。
操作项 | 说明 |
---|---|
开启二次认证 |
|
设置白名单 | 在员工登录飞连卡片右侧单击白名单个数,可以设置员工、部门、角色维度的白名单范围。在白名单内的员工登录飞连时不生效二次认证。 |
开启手动关闭功能 | 开启员工登录飞连场景的二次认证后,支持配置手动关闭功能,该功能用于限制企业员工是否可以在飞连门户网站自行关闭二次认证。 |
操作项 | 说明 |
---|---|
开启二次认证 |
|
设置连接时效 | 开启员工连接 VPN 场景的二次认证后,支持配置连接时效功能,您可以点击连接时效右侧的编辑按钮进行配置。 |
操作项 | 说明 |
---|---|
开启二次认证 |
|
设置连接时效 | 开启员工获取入网凭证(Wi-Fi、有线)场景的二次认证后,支持配置连接时效功能,您可以点击连接时效右侧的编辑按钮进行配置。 |