# 虚拟 MFA

虚拟 MFA 是一种被广泛使用的安全验证手段，用户在登录账号时，除了输入常规的「用户名+密码」外，还需要输入虚拟 MFA 提供的动态码。使用虚拟 MFA 可以有效规避密码泄露导致的账号风险，大幅度提高账号安全。除了登录外，任何账号敏感操作都可以受到虚拟 MFA 的保护。

一般情况下，虚拟 MFA 需要用户提前在手机应用中绑定账号的 MFA 密钥，在每次使用时打开应用，输入此时的动态码即可完成 MFA 验证。

本章节将会详细介绍，TE 系统中关于虚拟 MFA 的支持，包括了个人开启以及全集群的强制启用。

# 一、个人开启/关闭 MFA

对个人账号安全有较高要求的用户，可以进入网页右上角菜单中的「个人中心」页，为个人账号设置虚拟 MFA

在「账号安全」栏目下，点击「虚拟 MFA」条目的「绑定」按钮进入绑定 MFA 流程：

点击「绑定」后，需要输入密码验证身份：

进入到绑定环节，需要您下载身份验证应用或者使用微信小程序，打开相应程序后扫描屏幕中央二维码获取关联信息，无法扫码时，可以点击「无法扫码？」切换至手动输入模式。

完成扫码或输入密钥操作后，身份验证应用会创建一个场景（根据应用不同，可能需要手动保存该场景），此时可以看到该场景展示的 6 位验证码，将其输入页面中对应位置，完成校验即可成功绑定 MFA。

完成绑定后，需要进行重新登录，在重新登录的过程中就需要使用刚刚绑定的虚拟 MFA，具体细节可参考第三章「开启 MFA 后的登录流程」。

如果需要关闭 MFA，则同样在「账号安全」栏目下的「虚拟 MFA」条目，点击「解绑」进入关闭 MFA 的流程：

点击「解绑」后，需要输入 MFA 的动态码验证身份，完成后即可关闭 MFA，此时也可以在身份验证应用中删除绑定的 MFA 信息：

系统管理员可以进入网页右上角菜单中的「系统管理」页，在「系统安全」的「虚拟 MFA」选项卡中管理集群的虚拟 MFA 情况，包括开启全员强制启用 MFA，或解绑一个用户的 MFA。

如果您对于系统的整体安全有较高的要求，我们也提供了全局管理的能力，可以强制所有用户都必须绑定 MFA。系统管理员可选择开启或关闭强制启用 MFA。

开启强制启用 MFA 后，所有未开启 MFA 的用户在登录时会被要求绑定虚拟 MFA，绑定虚拟 MFA 后才可以完成账号登录。如果绑定后再解绑，则下次登录时仍需绑定 MFA。

关闭强制启用 MFA 后，不再要求用户绑定虚拟 MFA，但也不会解绑已绑定的虚拟 MFA。

如果用户无法获取虚拟 MFA 的动态码，比如丢失设备或误删除身份验证应用，则系统管理员可以在虚拟 MFA 管理页面中，为指定用户解绑虚拟 MFA。

系统管理员如果无法获取 MFA 动态码，可联系 TE 工作人员进行解绑。

在开启虚拟 MFA 后，当用户完成密码校验，则会进入到 MFA 校验环节，此时打开之前绑定 MFA 的身份验证应用，输入此时应用展示的动态码，验证成功即可成功登录 TE 后台。

需要注意，如果采用了第三方登录，则不会进入 MFA 校验环节。