Workspace ONE Access 中启用身份验证器应用程序身份验证方法以进行双因素身份验证,从而要求用户在登录到 Workspace ONE Intelligent Hub 应用程序或任何需要双因素身份验证的应用程序时输入基于时间的一次性 (TOTP) 通行码以作为第二个凭据。

双因素身份验证是一种安全增强功能,要求您提供两种不同形式的身份证明以进行登录。用户使用在其设备上安装的身份验证器应用程序生成 TOTP 通行码,并将该通行码与他们的第一个身份验证凭据一起使用以登录到应用程序。用户可以在其个人或工作移动设备上利用他们的首选身份验证器应用程序以生成 TOTP 通行码。该设备不需要是在 Workspace ONE UEM 中管理或注册的设备。

在 Workspace ONE Access 服务中启用身份验证器应用程序身份验证时,您可以配置用户在重试期间输错通行码的次数,然后将施加 5 分钟的等待时间。默认配置在 5 分钟的时间内最多允许 5 次失败的尝试。如果在 5 分钟的时间内第 6 次尝试失败,则用户帐户在 5 分钟内无法再使用身份验证器应用程序进行身份验证。通过在输错预定义次数的通行码后实施等待时间,可以加强对潜在恶意危险人的防护,并且可以根据您的组织的安全要求进行定制。

您可以配置在登录屏幕上显示的自定义消息,以说明如何注册应用程序以及在用户无法登录时执行的操作。

在默认访问策略或应用程序访问策略中,您可以配置规则以要求将身份验证器应用程序身份验证作为第二种身份验证形式。

身份验证器应用程序将内置到适用于 iOS 设备和 Android 设备的 Workspace ONE Intelligent Hub 应用程序中。最终用户可以点击其个人资料图标以打开其“帐户”屏幕,然后单击双因素身份验证以设置身份验证器功能。

最终用户还可以从 Apple App Store 或 Google Play 商店下载基于 TOTP RFC 6238 算法构建的身份验证器应用程序。他们还可以使用基于浏览器的密码管理器,该管理器可以生成 TOTP 通行码以进行登录。

在用户第一次登录时,他们使用第一个所需的身份验证凭据登录,并要求他们注册其身份验证器应用程序。您创建的自定义注册消息显示在“注册身份验证器应用程序”屏幕上。要进行注册,他们使用身份验证器应用程序中内置的扫描程序扫描二维码,并输入身份验证器应用程序中显示的 6 位通行码。如果无法使用摄像头扫描二维码,用户可以选择在身份验证器应用程序上手动输入密码代码以获取 6 位通行码。用户可以在注册屏幕上单击改用代码以查看要输入到其身份验证器应用程序的密码代码。不会在 Workspace ONE Access 控制台用户帐户中存储任何个人身份信息,仅保存注册日期。

图 1. 使用二维码的“注册身份验证器应用程序”屏幕
身份验证器应用程序注册消息、二维码和设备通行码的屏幕截图

当用户在注册其身份验证器应用程序后登录时,将要求他们输入身份验证器应用程序在设备上显示的 6 位通行码。用户输入通行码的时间有限,通常为 30 秒,然后将显示新的通行码。

配置身份验证器应用程序并在内置身份提供程序中启用

过程

  1. Workspace ONE Access 控制台的集成 > 身份验证方法页面中,单击身份验证器应用程序
  2. 单击配置
    选项 描述
    启用身份验证器应用程序身份验证 启用身份验证器应用适配器身份验证选项开关。
    允许的重试次数 输入在登录尝试失败并拒绝访问之前用户可以输错通行码的次数。

    可以设置的值范围为 1 到 15。

    默认为 5 次。
    重试期限 输入用户在锁定前必须重试输入通行码的分钟数。

    可以设置的重试值范围为 5 到 60 分钟。

    默认值为 5 分钟。

    锁定时间 输入在达到重试值后,用户可以重试登录前必须等待的分钟数。

    可以设置的锁定值范围为 5 到 60 分钟。

    默认值为 5 分钟。
    输入用于注册的自定义文本 向用户介绍如何继续登录,包括要安装的内容以及要执行的操作。

    示例文本。 

    在您的设备上安装身份验证器应用程序并扫描该二维码。输入在身份验证器应用程序中显示的一次性通行码。
    输入用于恢复的自定义文本 描述用户无法从其身份验证器应用程序登录时需执行的操作。

    默认的登录场景允许用户在 5 分钟内重试输入通行码 5 次,之后将被锁定 5 分钟,在锁定 5 分钟后可以重试。

  3. 单击保存
  4. 导航到集成 > 身份提供程序并选择内置身份提供程序。
    1. 在“身份验证方法”部分中,选择身份验证器应用程序
    2. 单击保存

后续步骤

创建访问策略规则以将身份验证器应用程序作为双因素身份验证的第二种身份验证方法。请参阅添加身份验证规则 Workspace ONE Access 默认访问策略

为用户重置身份验证器应用程序注册

在用户由于无法使用其身份验证器应用程序登录到 Workspace ONE Intelligent Hub 应用程序或 Hub 目录中需要双因素身份验证的应用程序而与您联系时,您必须从控制台中重置注册的身份验证器应用程序。在单击重置时,将删除注册的身份验证器应用程序。在下次用户登录时,将要求他们再次注册身份验证器应用程序。

  1. Workspace ONE Access 控制台的帐户 > 用户页面中,选择请求重置的用户名。
  2. 双因素身份验证选项卡的身份验证器应用程序部分中,单击重置
  3. 在显示的对话框中,单击重置以确认该操作。