# 虚拟MFA

虚拟MFA是一种被广泛使用的安全验证手段，用户在登录账号时，除了输入常规的「用户名+密码」外，还需要输入虚拟MFA提供的动态码。使用虚拟MFA可以有效规避密码泄露导致的账号风险，大幅度提高账号安全。除了登录外，任何账号敏感操作都可以受到虚拟MFA的保护。

一般情况下，虚拟MFA需要用户提前在手机应用中绑定账号的MFA密钥，在每次使用时打开应用，输入此时的动态码即可完成MFA验证。

本章节将会详细介绍，TA系统中关于虚拟MFA的支持，包括了个人开启以及全集群的强制启用。

# 一、个人开启/关闭MFA

对个人账号安全有较高要求的用户，可以进入网页右上角菜单中的「个人中心」页，为个人账号设置虚拟MFA

在「账号安全」栏目下，点击「虚拟MFA」条目的「绑定」按钮进入绑定MFA流程：

点击「绑定」后，需要输入密码验证身份：

进入到绑定环节，需要您下载身份验证应用或者使用微信小程序，打开相应程序后扫描屏幕中央二维码获取关联信息，无法扫码时，可以点击「无法扫码？」切换至手动输入模式。

完成扫码或输入密钥操作后，身份验证应用会创建一个场景（根据应用不同，可能需要手动保存该场景），此时可以看到该场景展示的6位验证码，将其输入页面中对应位置，完成校验即可成功绑定MFA。

完成绑定后，需要进行重新登录，在重新登录的过程中就需要使用刚刚绑定的虚拟MFA，具体细节可参考第三章「开启MFA后的登录流程」。

如果需要关闭MFA，则同样在「账号安全」栏目下的「虚拟MFA」条目，点击「解绑」进入关闭MFA的流程：

点击「解绑」后，需要输入MFA的动态码验证身份，完成后即可关闭MFA，此时也可以在身份验证应用中删除绑定的MFA信息：

系统管理员可以进入网页右上角菜单中的「系统管理」页，在「系统安全」的「虚拟MFA」选项卡中管理集群的虚拟MFA情况，包括开启全员强制启用MFA，或解绑一个用户的MFA。

如果您对于系统的整体安全有较高的要求，我们也提供了全局管理的能力，可以强制所有用户都必须绑定MFA。系统管理员可选择开启或关闭强制启用MFA。

开启强制启用MFA后，所有未开启MFA的用户在登录时会被要求绑定虚拟MFA，绑定虚拟MFA后才可以完成账号登录。如果绑定后再解绑，则下次登录时仍需绑定MFA。

关闭强制启用MFA后，不再要求用户绑定虚拟MFA，但也不会解绑已绑定的虚拟MFA。

如果用户无法获取虚拟MFA的动态码，比如丢失设备或误删除身份验证应用，则系统管理员可以在虚拟MFA管理页面中，为指定用户解绑虚拟MFA。

TIP

系统管理员如果无法获取MFA动态码，可联系TA工作人员进行解绑。

在开启虚拟MFA后，当用户完成密码校验，则会进入到MFA校验环节，此时打开之前绑定MFA的身份验证应用，输入此时应用展示的动态码，验证成功即可成功登录TA后台。

需要注意，如果采用了第三方登录，则不会进过MFA校验环节。