aTrust开启二次认证后,用户易用性上会存在减弱,配置自适应可在二次认证基础上,进一步提升登录安全及认证体验。典型使用模式是:在发现异常风险如异常时间段登录时进行增强认证(提升安全)、在符合安全要求的终端上免除二次认证或允许一键登录(提升体验)。
5.2.2.3.1.免二次认证
aTrust平台支持用户在授信终端、特定的网络区域和指定Windows域登录时,实现免二次认证。我们已经在“5.2.2.2二次认证”,完成了认证策略中的二次认证配置,此时我们可基于上述的操作,完成免二次认证的配置。
我们以用户在授信终端下可免二次认证为案例说明免二次认证配置过程,具体配置如下:
步骤1. 配置授信终端条件时,管理员进入[安全中心/安全基线/扩展条件]点击<新增>配置用户终端在什么网络环境下,可设置为授信终端。
步骤2. 在[业务管理/认证管理/认证策略]编辑用户认证策略进入认证策略配置页面,在[自适应认证/免二次认证]处可点击[授信终端设置]进入授信终端配置页面,也可以直接在[业务管理/终端管理/授信终端列表/授信终端设置]进入授信终端配置页面。
启用授信终端功能,并设置用户在研发网络时可以自助绑定授信终端
点击<保存>完成授信终端的配置。
步骤3. 在免二次认证处,勾选<使用授信终端登录时>,点击<保存>完成配置。
步骤4. 用户首次登录,会进行用户名认证和二次认证,登录成功后,提示是否进行授信终端的绑定,点击<信任终端>,即可绑定该终端为授信终端。
步骤5. 绑定授信终端后,用户重新登陆,授信终端的用户登录,可实现免二次认证,无需再输入TOTP令牌进行认证,直接登陆成功。
5.2.2.3.2.一键上线
aTrust平台支持用户在授信终端、特定的网络区域和指定Windows域登录时,可以保存认证票据,在下次登陆时可以不用做任何认证直接一键上线成功。配置过程与<5.2.2.3.1免二次认证>基本一致,不再赘述具体配置。
功能效果说明:
2.一键正常使用场景:
• 开启一键上线功能后,符合条件的客户端退出时会提示是否保留账号信息。
勾选保留账号信息,点击确定退出后,下次点开客户端即可自动登陆。
• 用户正常登陆,客户端开启开机自启动功能,用户下班时直接关机,下次开机可实现aTrust客户端开机自动上线。
3.一键上线在以下场景下失效:
• 用户在客户端主动注销,不会保留认证信息,无法一键上线;
• 退出客户端时不勾选保存账号信息,则下次登陆也无法一键上线
• 用户一键上线触发上线准入策略验证不通过,用户被强制下线;
• 管理员在【监控中心/用户监控/在线用户列表】注销用户;
• 用户因超过【业务管理/策略管理/用户策略】中的【同时在线设备上限】限制导致被注销;
• 一键上线仅针对客户端生效,纯web登录无效。
5.2.2.3.3.增强认证
客户配置了二次认证和豁免认证后,考虑到第三方的用户存在弱密码、异常时间段和异地登录是属于不安全的登录,此时想要进行增强认证,严控客户的终端环境。
步骤1. 在完成二次认证和一键上线后,进入认证策略配置界面,在自适应认证里面配置增强证条件,点击<保存>完成配置。
步骤2. 完成上述配置后,用户登录环境下,满足了增强认证条件,会被强制要求做增强认证。
建议使用Chrome浏览器访问!
