You need to enable JavaScript to run this app.
导航
配置多因素认证
最近更新时间:2024.03.29 15:12:51首次发布时间:2023.04.26 11:07:54

多因素认证功能用于对员工身份进行二次校验,以增强员工账号的安全性。本文介绍如何配置多因素认证。

步骤一:配置认证方式
  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择账号配置

  3. 账号配置页面,单击多因素认证页签。

  4. 认证方式区域,查看飞连支持的认证方式,其中动态口令邮箱验证码支持手动配置。

    说明

    在各类认证方式的卡片内,单击示例可查看当前认证方式的实现效果。

    图片

    认证方式

    说明

    动态口令

    用户可以通过飞连客户端查看动态口令。飞连提供了内置的动态口令服务,同时也支持企业自定义动态口令。点击配置可查看当前正在使用的动态口令服务,您还可以根据实际需求调整所使用的动态口令服务。飞连动态口令及企业自定义动态口令的配置说明,请参见下文动态口令配置说明

    邮箱验证码

    飞连服务向员工邮箱发送验证码进行认证。该方式需要您单击配置,前往通知配置中的邮件配置功能中完成企业邮件网关配置。具体操作,请参见管理邮件配置

    短信验证码

    飞连服务向员工手机发送短信验证码进行认证。

    推送认证

    该认证方式仅适用于员工连接 VPN 时进行二次认证。当员工在桌面端的飞连客户端内进行 VPN 连接时,需要前往手机端的飞连客户端完成推送认证。

    说明

    生效场景说明右侧单击展开,可查看各类认证方式在移动端、桌面端、浏览器内的生效情况。

动态口令配置说明

飞连提供了内置的动态口令服务,同时也支持企业自定义动态口令。关于这两种动态口令服务的具体说明如下:

  • 动态口令:飞连默认自带的动态口令服务。
  • 自定义动态口令:当企业已将第三方组织架构导入飞连,且需要使用第三方动态口令时,可以配置自定义动态口令以关联第三方动态口令,配置生效后,自定义动态口令只用于校验源自第三方数据源的员工身份。

配置飞连动态口令服务

  1. 动态口令认证选择区域,选择动态口令选项卡。

  2. 高级策略区域,按照以下说明完成配置,并单击立即生效

    字段

    说明

    动态口令生成规则

    飞连支持按账号级别按设备级别设置动态口令的生成规则。具体说明如下:

    • 按账号级别(默认选项):每个账号在不同移动端设备上查看的飞连动态口令均一致,例如,员工有 5 台移动端设备,但动态口令均一致。
    • 按设备级别:每个账号在不同移动端设备上查看的飞连动态口令均不一致,例如,员工有 5 台移动端设备,每台设备的动态口令均不一致。

    说明

    如果您需要切换动态口令的生成规则,在完成切换后,每个员工的移动端设备中的动态口令将根据新的生成规则进行刷新。因此,需要员工重新启动终端设备。

    飞连手机端动态口令展示

    选择开启飞连手机端动态口令展示策略。该策略开启后,员工可以在飞连手机端查看动态口令;该策略关闭时,员工无法在飞连手机端查看动态口令。

    允许第三方口令验证器绑定

    选择开启允许第三方口令验证器绑定策略。该策略开启后,员工可在飞连门户网站自行绑定第三方口令验证器。此外,您需要继续指定在员工绑定第三方口令验证器前,是否需要进行二次身份校验:

    • 若您选择需要二次认证,则您可以继续填写以下配置项:
      • 主选认证方式:可选邮箱验证码短信验证码的其中一种方式。
      • 备选认证方式:可选邮箱验证码短信验证码的其中一种方式(已被主选认证方式占用的选项不支持再次选择)。
    • 若您选择不需要二次认证,则您可直接单击立即生效,使配置生效。

配置自定义动态口令服务

  1. 动态口令认证选择区域,选择自定义动态口令选项卡。

  2. 按照以下说明完成配置,并单击立即生效

    区域

    说明

    配置说明

    参考配置说明中的请求示例和响应示例完成参数配置。

    参数配置

    在该区域,您可以配置以下参数:

    • 动态口令服务商:填写自定义动态口令服务厂商名称。
    • 用户标识:选择用户邮箱用户手机号用户邮箱前缀用户 ID 中的其中一个选项作为唯一的用户标识。
    • 请求地址:填写一个请求地址。
    • 请求方式:支持选择 GETPOST 方法。此外,您可以继续在 Headers 区域填写请求参数名称和参数值。单击新增 Header,添加多个请求参数。在指定参数的操作列,单击删除,可删除该参数信息。
    • 勾选后,动态口令服务商身份源中不存在的账号将启用动态口令:选择是否勾选该选项。由于飞连内创建的用户账号无法使用自定义动态口令服务商生成的动态口令来完成企业相关业务系统的二次认证,为保障开启二次认证后该部分用户账号能够正常使用飞连客户端功能,建议您勾选该选项,允许该部分用户账号使用飞连内置动态口令服务完成企业相关业务系统的二次认证。

    连通性检测

    选择一个用户账号,用于测试网络连通性,确保 HTTP 请求参数配置无误,且能正常访问公网。

    说明

    请您务必确保该用户账号存在于企业数据源内,若该用户账号为飞连内新建账号,则您需要将该账号同步至企业数据源后,再进行连通性测试,否则将导致连通性测试失败。

步骤二:在指定场景开启多因素认证

多因素认证页签的认证场景区域,手动配置员工登录飞连员工连接 VPN 以及员工获取入网凭证(Wi-Fi、有线) 认证场景。每个认证场景由独立开关控制,您可以选择启用指定场景的多因素认证。
图片

生效场景说明

以下表格罗列了不同的认证方式适配的场景。

认证方式

移动端(iOS、Android)

桌面端(MacOS、Windows、Linux)

浏览器

动态口令

  • 登录飞连:生效
  • 获取入网凭证:不生效
  • 连接 VPN:不生效

全支持

全支持

短信验证码

  • 登录飞连:生效
  • 获取入网凭证:不生效
  • 连接 VPN:不生效

全支持

全支持

邮箱验证码

  • 登录飞连:生效
  • 获取入网凭证:不生效
  • 连接 VPN:不生效

全支持

全支持

推送认证

不支持

  • 连接 VPN:生效
  • 登录飞连:不生效
  • 获取入网凭证:不生效

不支持

场景一:配置员工登录飞连认证场景

开启二次认证后,所有登录方式均需要二次认证,包括飞连账号登录、LDAP 账号登录以及第三方平台授权登录。
图片

操作项

说明

开启二次认证

  1. 员工登录飞连卡片右侧,打开开关。
  2. 配置认证方式对话框,完成以下配置,并单击确认
    • 主选认证方式:必选项,可选动态口令短信验证码邮箱验证码的其中一种方式。
    • 备选认证方式:可选项,如果企业担心员工不能通过主选认证方式获取验证信息,则可以设置备选认证方式,后续将由员工自行选择二次认证的方式。可选动态口令短信验证码邮箱验证码中的一种或多种(已被主选认证方式占用的选项不支持选择)。

设置白名单

员工登录飞连卡片右侧单击白名单个数,可以设置员工部门角色维度的白名单范围。在白名单内的员工登录飞连时不生效二次认证。

开启手动关闭功能

开启员工登录飞连场景的二次认证后,支持配置手动关闭功能,该功能用于限制企业员工是否可以在飞连门户网站自行关闭二次认证。

场景二:配置员工连接 VPN 认证场景

图片

操作项

说明

开启二次认证

  1. 员工连接 VPN 卡片右侧,打开开关。
  2. 配置认证方式对话框,完成以下配置,并单击确认
    • 主选认证方式:必选项,可选动态口令短信验证码邮箱验证码推送认证的其中一种方式。
    • 备选认证方式:可选项,如果企业担心员工不能通过主选认证方式获取验证信息,则可以设置备选认证方式,后续将由员工自行选择二次认证的方式。可选动态口令短信验证码邮箱验证码推送认证中的一种或多种(已被主选认证方式占用的选项不支持选择)。

设置连接时效

开启员工连接 VPN 场景的二次认证后,支持配置连接时效功能,您可以点击连接时效右侧的编辑按钮进行配置。
该功能用于限制飞连客户端通过二次认证连接 VPN 后的有效时长。例如,选择每次表示每次连接 VPN 都需要二次认证。选择 2 小时表示本次二次认证的有效时长为 2 小时,2 小时内重新连接 VPN 不需要二次认证,超过 2 小时重新连接 VPN 需要二次认证。

场景三:配置员工获取入网凭证(Wi-Fi、有线)认证场景

图片

操作项

说明

开启二次认证

  1. 员工获取入网凭证(Wi-Fi、有线) 卡片右侧,打开开关。
  2. 配置认证方式对话框,完成以下配置,并单击确认
    • 主选认证方式:必选项,可选动态口令短信验证码邮箱验证码的其中一种方式。
    • 备选认证方式:可选项,如果企业担心员工不能通过主选认证方式获取验证信息,则可以设置备选认证方式,后续将由员工自行选择二次认证的方式。可选动态口令短信验证码邮箱验证码中的一种或多种(已被主选认证方式占用的选项不支持选择)。

设置连接时效

开启员工获取入网凭证(Wi-Fi、有线)场景的二次认证后,支持配置连接时效功能,您可以点击连接时效右侧的编辑按钮进行配置。
该功能用于限制飞连客户端获取入网凭证后的有效时长。例如,选择每次表示每次获取入网凭证都需要二次认证。选择 2 小时表示本次二次认证的有效时长为 2 小时,2 小时内重新获取入网凭证不需要二次认证,超过 2 小时重新获取入网凭证需要二次认证。