全部产品
Search
文档中心

应用身份服务:二次认证

更新时间:Sep 23, 2024

本文介绍如何使用二次认证以及在登录时绑定二次认证方式。

IDaaS EIAM支持在使用密码登录后,要求用户进行二次认证,提高管理安全性,满足合规要求。

二次认证配置

为了保障您的使用安全性,二次认证能力默认开启。

image.png

开启模式

IDaaS EIAM支持两种二次认证开启模式。

模式

说明

智能模式(推荐)

开启后,IDaaS EIAM会根据上下文自行判断是否需要进行二次认证,在保障安全的基础上,降低用户使用复杂度。

常开模式

开启后,用户每次登录都需要进行二次认证。

二次认证方式

IDaaS EIAM支持多种二次认证方式,管理员可多选同时开启。

方式

说明

OTP 动态口令

使用阿里云APP或其它常用OTP APP(如Google身份验证器),输入6位动态口令以完成二次认证。

用户可在IDaaS EIAM应用门户的账户管理中绑定OTP。详情请参考:用户自服务

管理员可帮助用户解绑OTP动态口令。详情请参考:OTP-已绑定动态口令

短信验证码

发送6位验证码短信到IDaaS EIAM账户手机号。若账户没有手机号,则无法使用该方式。

短信暂不收费。

可前往短信模板菜单查看短信内容。

邮箱验证码

发送6位验证码邮件到IDaaS EIAM账户邮箱。若账户没有邮箱,则无法使用该方式。

可前往邮件模板菜单查看邮件内容。

WebAuthn

使用WebAuthn认证器当做二次认证因子,实现硬件级的安全、便捷认证。

更多请参考:高级:WebAuthn 安全登录

管理员可帮助用户注册和删除Webauthn认证器详情请参考:WebAuthn-已注册认证器

说明

若IDaaS EIAM账户无可用的二次认证方式,账户将无法通过二次认证。建议开启登录时绑定二次认证,或确保所有IDaaS账户均能使用至少一种二次认证方式。

开启后,所有IDaaS EIAM账户均可使用。用户可在二次认证环节自行选择使用方式。参考下图:

image.png

登录时绑定二次认证

通过绑定二次认证方式,未绑定二次认证方式的账户在登录时如果满足绑定条件,则可直接绑定二次认方式。

image.png

绑定条件

当账户满足所有已开启的绑定条件时,才可在登录时绑定二次认证方式。

方式

说明

账户无可用的二次认证方式

针对已启用的二次认证方式,账户均未绑定时,则满足该条件。例如开启了短信验证码二次认证,但账户只绑定了邮箱,此时则满足该条件。

账户无登录成功记录

如果账户未曾成功登录过IDaaS EIAM,则满足该条件。建议开启该条件(或在存量账户完成绑定后开启),以降低存量账户被盗用的风险。

账户创建至今小于 n 天

即新账户在一定时间内才可绑定。建议开启该条件,以降低存量账户被盗用的风险。

可绑定的二次认证方式

当账户满足绑定条件时,如果已启用的二次认证方式同时也是可绑定的二次认证方式,则可被绑定。

例如,实例启用了短信和邮件验证码作为二次认证方式,只启用了短信验证码作为可绑定的二次认证方式。

image.png

如果账户未绑定手机号和邮箱,则在登录时可以绑定手机号,无法绑定邮箱。

image.png