Workspace ONE Access 中啟用驗證器應用程式驗證方法,以進行雙因素驗證,從而要求使用者在登入 Workspace ONE Intelligent Hub 應用程式或任何需要雙因素驗證的應用程式時,輸入以時間為基礎的一次性 (TOTP) 通行碼,來作為第二份認證。

雙因素驗證是一種安全增強功能,需要您提供兩種不同形式的身分識別來登入。使用者會使用在其裝置上安裝的驗證器應用程式來產生 TOTP 通行碼,並將該通行碼與他們的第一份驗證認證搭配使用,來登入應用程式。使用者可以在其個人或工作行動裝置上,利用其偏好的驗證器應用程式來產生 TOTP 通行碼。該裝置不需要是 Workspace ONE UEM 中受管理或登錄的裝置。

在 Workspace ONE Access 服務中啟用驗證器應用程式驗證時,您可以設定使用者在重試期間輸入錯誤通行碼的次數,然後將施加 5 分鐘的等待時間。預設組態允許 5 分鐘時限內最多可有 5 次嘗試失敗。如果在 5 分鐘內第 6 次嘗試失敗,則使用者帳戶在 5 分鐘內無法再次使用驗證器應用程式進行驗證。藉由在過了預先定義的錯誤通行碼輸入次數後即實作等待時間,可加強對潛在惡意執行者的防護,且可以根據您組織的安全需求量身打造。

您可以設定要顯示在登入畫面上的自訂訊息,以說明如何登錄應用程式,以及一旦使用者無法登入時所要執行的動作。

在預設存取原則或應用程式存取原則中,您可以設定規則,以要求以驗證器應用程式驗證作為第二種驗證形式。

驗證器應用程式將內建到適用於 iOS 裝置和 Android 裝置的 Workspace ONE Intelligent Hub 應用程式中。使用者可以點選其設定檔圖示,以開啟其 [帳戶] 畫面,然後按一下雙重要素驗證以設定驗證器功能。

使用者也可從 Apple App Store 或 Google Play Store 下載根據 TOTP RFC 6238 演算法建置的驗證器應用程式。他們還可以使用瀏覽器型密碼管理程式,來產生 TOTP 通行碼進行登入。

在使用者第一次登入時,他們會使用第一份所需的驗證認證來登入,且會要求他們登錄其驗證器應用程式。您建立的自訂登錄訊息會顯示在 [登錄驗證器應用程式] 畫面上。若要登錄,他們需使用驗證器應用程式中內建的掃描器來掃描 QR 代碼,並輸入驗證器應用程式中顯示的 6 位數通行碼。如果無法使用相機掃描 QR 代碼,使用者可以選擇在驗證器應用程式上手動輸入密碼,以取得 6 位數通行碼。使用者可以在登錄畫面上按一下改用代碼,即可看到要輸入到其驗證器應用程式的密碼。任何的個人身分識別資訊都不會儲存在 Workspace ONE Access 主控台使用者帳戶中,只會儲存登錄日期。

圖 1. 使用 QR 代碼的 [登錄驗證器應用程式] 畫面
此螢幕擷取畫面顯示驗證器應用程式登錄訊息、QR 代碼和裝置通行碼

一旦使用者在登錄其驗證器應用程式後登入,即會要求他們輸入驗證器應用程式顯示在裝置上的 6 位數通行碼。使用者輸入通行碼的時間有限,通常為 30 秒,之後將顯示新的通行碼。

設定驗證器應用程式,並在內建身分識別提供者中啟用

程序

  1. Workspace ONE Access 主控台的整合 > 驗證方法頁面中,按一下驗證器應用程式
  2. 按一下設定
    選項 說明
    啟用驗證器應用程式驗證 啟用驗證器應用程式配接器驗證切換。
    允許的重試次數 輸入在嘗試登入失敗且存取遭拒之前,使用者可以輸入錯誤通行碼的次數。

    可以設定的值範圍為 1 到 15。

    預設值為 5 次。

    重試期間 輸入分鐘數,使用者必須在這段期間重試輸入通行碼,一旦超過就會被鎖定。

    可以設定的重試值範圍為 5 到 60 分鐘。

    預設值為 5 分鐘。

    鎖定時間 輸入在達到重試值後,使用者可以重試登入前必須等待的分鐘數。

    可以設定的鎖定值範圍為 5 到 60 分鐘。

    預設值為 5 分鐘。

    輸入用於登錄的自訂文字 向使用者介紹如何繼續登入,包括要安裝的項目以及要執行的動作。

    範例文字。

    請在您的裝置上安裝驗證器應用程式,並掃描此 QR 代碼。請輸入驗證器應用程式中所顯示的一次性通行碼。
    輸入用於復原的自訂文字 說明當使用者無法從其驗證器應用程式登入時需執行的動作。

    預設登入案例可讓使用者在 5 分鐘內重試輸入通行碼 5 次,之後會被鎖定 5 分鐘,過了這個時間後就可以重試。

  3. 按一下儲存
  4. 導覽至整合 > 身分識別提供者,並選取內建的身分識別提供者。
    1. 在 [驗證方法] 區段中,選取驗證器應用程式
    2. 按一下儲存

後續步驟

建立存取原則規則,以使用驗證器應用程式作為雙因素驗證的第二種驗證方法。請參閱 新增驗證規則 Workspace ONE Access 預設存取原則

為使用者重設驗證器應用程式登錄

當使用者因無法使用其驗證器應用程式來登入 Workspace ONE Intelligent Hub 應用程式或 Hub 目錄中需要雙因素驗證的應用程式,而與您連絡時,您必須從主控台來重設已登錄的驗證器應用程式。當您按一下重設時,會刪除已登錄的驗證器應用程式。在使用者下次登入時,會要求他們重新登錄驗證器應用程式。

  1. Workspace ONE Access 主控台的帳戶 > 使用者頁面中,選取要求重設的使用者名稱。
  2. 雙因素驗證索引標籤的驗證器應用程式區段中,按一下重設
  3. 在顯示的對話方塊中,按一下重設,以確認該動作。