# 虚拟MFA
虚拟MFA是一种被广泛使用的安全验证手段,用户在登录账号时,除了输入常规的「用户名+密码」外,还需要输入虚拟MFA提供的动态码。使用虚拟MFA可以有效规避密码泄露导致的账号风险,大幅度提高账号安全。除了登录外,任何账号敏感操作都可以受到虚拟MFA的保护。
一般情况下,虚拟MFA需要用户提前在手机应用中绑定账号的MFA密钥,在每次使用时打开应用,输入此时的动态码即可完成MFA验证。
本章节将会详细介绍,TE系统中关于虚拟MFA的支持,包括了个人开启以及全集群的强制启用。
# 一、个人开启/关闭MFA
# 1.1 个人开启MFA
对个人账号安全有较高要求的用户,可以进入网页右上角菜单中的「个人中心」页,为个人账号设置虚拟MFA
在「账号安全」栏目下,点击「虚拟MFA」条目的「绑定」按钮进入绑定MFA流程:
点击「绑定」后,需要输入密码验证身份:
进入到绑定环节,需要您下载身份验证应用或者使用微信小程序,打开相应程序后扫描屏幕中央二维码获取关联信息,无法扫码时,可以点击「无法扫码?」切换至手动输入模式。
完成扫码或输入密钥操作后,身份验证应用会创建一个场景(根据应用不同,可能需要手动保存该场景),此时可以看到该场景展示的6位验证码,将其输入页面中对应位置,完成校验即可成功绑定MFA。
完成绑定后,需要进行重新登录,在重新登录的过程中就需要使用刚刚绑定的虚拟MFA,具体细节可参考第三章「开启MFA后的登录流程」。
# 1.2 个人关闭MFA
如果需要关闭MFA,则同样在「账号安全」栏目下的「虚拟MFA」条目,点击「解绑」进入关闭MFA的流程:
点击「解绑」后,需要输入MFA的动态码验证身份,完成后即可关闭MFA,此时也可以在身份验证应用中删除绑定的MFA信息:
# 二、虚拟MFA管理
系统管理员可以进入网页右上角菜单中的「系统管理」页,在「系统安全」的「虚拟MFA」选项卡中管理集群的虚拟MFA情况,包括开启全员强制启用MFA,或解绑一个用户的MFA。
# 2.1 开启/关闭强制启用MFA
如果您对于系统的整体安全有较高的要求,我们也提供了全局管理的能力,可以强制所有用户都必须绑定MFA。系统管理员可选择开启或关闭强制启用MFA。
开启强制启用MFA后,所有未开启MFA的用户在登录时会被要求绑定虚拟MFA,绑定虚拟MFA后才可以完成账号登录。如果绑定后再解绑,则下次登录时仍需绑定MFA。
关闭强制启用MFA后,不再要求用户绑定虚拟MFA,但也不会解绑已绑定的虚拟MFA。
# 2.2 为指定用户解绑虚拟MFA
如果用户无法获取虚拟MFA的动态码,比如丢失设备或误删除身份验证应用,则系统管理员可以在虚拟MFA管理页面中,为指定用户解绑虚拟MFA。
系统管理员如果无法获取MFA动态码,可联系TE工作人员进行解绑。
# 三、开启MFA后的登录流程
在开启虚拟MFA后,当用户完成密码校验,则会进入到MFA校验环节,此时打开之前绑定MFA的身份验证应用,输入此时应用展示的动态码,验证成功即可成功登录TE后台。
需要注意,如果采用了第三方登录,则不会进入MFA校验环节。