概述

多因素认证（MFA）是一种简单有效的最佳安全实践方法，它能够在用户名和密码之外再额外增加一层安全保护。

启用MFA后，用户登录IDaaS时，系统将要求输入用户名和密码（第一安全要素），然后要求输入来自其MFA设备的动态验证码（第二安全要素），双因素的安全认证将为您的账户提供更高的安全保护。

开启全局MFA

管理员用户进入IDaaS > 项目 > 认证 > 多因素认证，点击编辑。

管理员用户可以选择短信验证码、软件动态码两种二次认证方式，勾选相应的二次认证方式，点击保存，即可开启全局MFA。

温馨提示：

1、开启保存MFA状态7天，普通用户在首次登录时完成MFA验证后，可以勾选“记住这台设备，7天内不再询问”，勾选后，该用户7天内的下次登录将不需要进行MFA验证。

2、全局MFA只支持管理员用户开启、关闭或修改。管理员用户开启全局MFA后，可为当前项目空间下所有普通用户开启MFA，且普通用户侧无法修改MFA状态。管理员用户不开启全局MFA时，默认允许当前项目空间下的普通用户自行管理MFA。

解绑MFA设备

在普通用户遗失或损坏MFA设备时，管理员用户可主动帮助普通用户解绑MFA设备。

1. 点击请选择用户，选择当前项目空间下的普通用户。

2. 若所选择普通用户未绑定MFA设备，则显示“当前用户未绑定设备”。

3. 若所选择普通用户已绑定MFA设备，则显示设备名称，点击解绑并确认，即可为当前普通用户解绑MFA设备。

温馨提示：

管理员用户为当前项目空间的普通用户解绑MFA设备后，普通用户再次登录若需要进行二次认证时，则需要重新绑定设备。

普通用户登录二次认证

1. 管理员用户开启全局MFA后，普通用户在登录时，首先需要输入用户名和密码。

2. 用户名和密码验证通过后，进入二次认证页面。

3. 普通用户可以在管理员用户所配置的全局MFA认证方式中，选择其中一种进行二次认证。

• 选择短信验证码进行二次认证，点击发送验证码，则系统会发送短信验证码至当前用户绑定的手机号。

• 选择动态软件码进行二次认证，若当前用户未绑定MFA设备，则首先需要绑定MFA设备，然后进行动态软件码二次认证；若当前用户已绑定MFA设备，则直接进行动态软件码二次认证。

4. 二次认证通过后，登录成功。