跳到主内容

MFA / 2FA

关于多因素身份验证

MFA(多因素身份验证)是一种可以增强用户和系统安全性的安全措施。 它要求用户在登录或执行敏感操作时提供两个或更多的身份验证因素。

Casdoor支持多种双因素认证方式,包括短信验证码、电子邮件验证码、TOTP身份验证应用和RADIUS认证。

一旦您启用多因素认证,Casdoor每次有人尝试登录您的账户时都会要求输入验证码。 只有知道您的密码并能获取身份验证代码的人才能登录您的账户。

配置MFA

  1. 在用户个人资料页面,打开多因素认证部分。 如果缺失,请确保组织已在账户项目表中添加了多因素身份验证项目。

    mfa_config

  2. 点击“设置”按钮。

    mfa_setup

  3. 输入您的密码并点击“下一步”。

    mfa_check_password

使用TOTP移动应用配置多因素身份验证

基于时间的一次性密码(TOTP)应用自动生成一个在一定时间后更改的身份验证代码。 我们建议使用:

:::提示

要在多台设备上通过TOTP进行身份验证配置,设置时请同时使用每台设备扫描二维码。 如果2FA已经启用,而您想添加另一个设备,您必须从用户个人资料页面重新配置您的TOTP应用。

:::

totp

当您将账户添加到身份验证器应用时,账户名称将显示组织的显示名称(如果未设置显示名称,则显示组织名称)。 这有助于您在管理多个账户时识别TOTP代码所属的组织。

  1. 在“验证代码”步骤中,执行以下操作之一:

    • 使用您的移动设备的应用扫描二维码。 扫描后,应用会显示一个六位数的代码,您可以在Casdoor上输入。
    • 如果无法扫描二维码,请复制密钥并在TOTP应用中手动输入。
  2. TOTP移动应用将您的Casdoor账户保存并每隔几秒生成一个新的身份验证代码。 在Casdoor上,将代码输入到“验证码”字段并点击“下一步”。

  3. 在“启用”按钮上方,复制您的恢复代码并将它们保存到您的设备上。 将它们保存到一个安全的位置,因为您的恢复代码可以帮助您在失去访问权限时重新获得对您账户的访问。

    mfa_enable

:::警告

每个恢复代码只能使用一次。 如果您使用恢复代码登录,它将变为无效。

:::

使用短信配置多因素身份验证

如果您已添加您的手机号码,Casdoor将使用它向您发送短信。

mfa_bound

如果您尚未添加手机号码,请先在您的账户中添加。

mfa_binding

  1. 选择您的国家代码并输入您的手机号码。

  2. 检查您的信息是否正确并点击“发送代码”。

  3. 请输入短信中的安全验证码输入您的验证码并点击下一步.

  4. 在“启用”按钮上方,复制您的恢复代码并将它们保存到您的设备上。 将它们保存到一个安全的位置,因为您的恢复代码可以帮助您在失去访问权限时重新获得对您账户的访问。

使用电子邮件配置多因素身份验证

将电子邮件配置为您的多因素身份验证方法与使用短信类似。

  1. 使用您当前的电子邮件或输入您的电子邮件地址并点击“发送代码”。

  2. 然后将代码输入到“输入您的代码”字段并点击“下一步”。

  3. 在“启用”按钮上方,复制您的恢复代码并将它们保存到您的设备上。 将它们保存到一个安全的位置,因为您的恢复代码可以帮助您在失去访问权限时重新获得对您账户的访问。

使用RADIUS配置多因素身份验证

RADIUS MFA允许您针对第二个身份验证因素,向外部RADIUS服务器进行身份验证。 在与现有身份验证基础架构集成时,这很有用。

在使用RADIUS多因素认证之前,您的管理员必须在应用程序中配置一个RADIUS提供商。 配置完成后:

  1. 在设置过程中提示时,请输入您的RADIUS用户名。

  2. 请输入您的RADIUS密码以验证设置。 此密码将与已配置的RADIUS服务器进行验证。 在后续登录时,您将使用此相同的RADIUS密码作为您的第二因素。

  3. 在“启用”按钮上方,复制您的恢复代码并将其保存到您的设备上。 请将它们保存在安全的位置,因为如果您无法访问账户,您的恢复代码可帮助您重新获得访问权限。

:::注意

RADIUS身份验证与您的管理员配置的外部RADIUS服务器进行通信。 请确保您拥有正确的RADIUS账户用户名和密码。

:::

更改您首选的MFA方法

可添加多种多因素认证方式;登录时仅使用首选方式。

如果您想设置首选的MFA方法,请点击“设置首选”按钮。

preferred_mfa_method

您首选的方法上将显示“首选”标签。

禁用多因素身份验证

如果您想禁用多因素身份验证,请点击“禁用”按钮。 您的所有多因素身份验证设置将被删除。

disable_mfa