# 虚拟 MFA
虚拟 MFA 是一种被广泛使用的安全验证手段,用户在登录账号时,除了输入常规的「用户名+密码」外,还需要输入虚拟 MFA 提供的动态码。使用虚拟 MFA 可以有效规避密码泄露导致的账号风险,大幅度提高账号安全。除了登录外,任何账号敏感操作都可以受到虚拟 MFA 的保护。
一般情况下,虚拟 MFA 需要用户提前在手机应用中绑定账号的 MFA 密钥,在每次使用时打开应用,输入此时的动态码即可完成 MFA 验证。
本章节将会详细介绍,TE 系统中关于虚拟 MFA 的支持,包括了个人开启以及全集群的强制启用。
# 一、个人开启/关闭 MFA
# 1.1 个人开启 MFA
对个人账号安全有较高要求的用户,可以进入网页右上角菜单中的「个人中心」页,为个人账号设置虚拟 MFA
在「账号安全」栏目下,点击「虚拟 MFA」条目的「绑定」按钮进入绑定 MFA 流程:
点击「绑定」后,需要输入密码验证身份:
进入到绑定环节,需要您下载身份验证应用或者使用微信小程序,打开相应程序后扫描屏幕中央二维码获取关联信息,无法扫码时,可以点击「无法扫码?」切换至手动输入模式。
完成扫码或输入密钥操作后,身份验证应用会创建一个场景(根据应用不同,可能需要手动保存该场景),此时可以看到该场景展示的 6 位验证码,将其输入页面中对应位置,完成校验即可成功绑定 MFA。
完成绑定后,需要进行重新登录,在重新登录的过程中就需要使用刚刚绑定的虚拟 MFA,具体细节可参考第三章「开启 MFA 后的登录流程」。
# 1.2 个人关闭 MFA
如果需要关闭 MFA,则同样在「账号安全」栏目下的「虚拟 MFA」条目,点击「解绑」进入关闭 MFA 的流程:
点击「解绑」后,需要输入 MFA 的动态码验证身份,完成后即可关闭 MFA,此时也可以在身份验证应用中删除绑定的 MFA 信息:
# 二、虚拟 MFA 管理
系统管理员可以进入网页右上角菜单中的「系统管理」页,在「系统安全」的「虚拟 MFA」选项卡中管理集群的虚拟 MFA 情况,包括开启全员强制启用 MFA,或解绑一个用户的 MFA。
# 2.1 开启/关闭强制启用 MFA
如果您对于系统的整体安全有较高的要求,我们也提供了全局管理的能力,可以强制所有用户都必须绑定 MFA。系统管理员可选择开启或关闭强制启用 MFA。
开启强制启用 MFA 后,所有未开启 MFA 的用户在登录时会被要求绑定虚拟 MFA,绑定虚拟 MFA 后才可以完成账号登录。如果绑定后再解绑,则下次登录时仍需绑定 MFA。
关闭强制启用 MFA 后,不再要求用户绑定虚拟 MFA,但也不会解绑已绑定的虚拟 MFA。
# 2.2 为指定用户解绑虚拟 MFA
如果用户无法获取虚拟 MFA 的动态码,比如丢失设备或误删除身份验证应用,则系统管理员可以在虚拟 MFA 管理页面中,为指定用户解绑虚拟 MFA。
系统管理员如果无法获取 MFA 动态码,可联系 TE 工作人员进行解绑。
# 三、开启 MFA 后的登录流程
在开启虚拟 MFA 后,当用户完成密码校验,则会进入到 MFA 校验环节,此时打开之前绑定 MFA 的身份验证应用,输入此时应用展示的动态码,验证成功即可成功登录 TE 后台。
需要注意,如果采用了第三方登录,则不会进入 MFA 校验环节。