用户绑定管理通常用于密码认证,也可以用于管理员定义了用户名的不需要认证场景。主要包括用户绑定、IP/MAC绑定、微信绑定。
用户绑定:当需要限制某个用户名只能在某个IP或MAC地址上登录,并且要求绑定的IP或MAC只能给这个用户使用时,需要用到用户绑定功能。
IP/MAC绑定:绑定用户的IP地址和MAC地址,可以方便管理员对内网用户进行统一管理,实现一人一机实名制管理。且将IP地址和MAC地址做双向绑定,即用户在认证时,会验证该用户的IP和MAC是否符合绑定的关系,如果有一项不对,就会认证不通过。为了防止内网有用户随意修改IP的行为。
微信绑定:将微信OpenID和用户信息绑定,实现微信快捷登录。用微信扫码实现密码登录,减去手动输入账号密码的步骤,其本质还是密码登录。账号可以是本地用户,域账号等外部账号。
动态令牌绑定:将动态令牌和用户信息绑定,实现用户通过动态码二次认证。管理员可配置用户动态令牌有效期为自定义天数或永不过期,以及是否自动删除过期绑定关系。
用户绑定的方式有自动录入和手动录入。
• 自动录入:管理员在配置认证策略时的认证后处理选项勾选自动录入绑定关系-自动录入用户和IP/MAC的绑定关系,可以选择绑定IP、MAC、或IP和MAC,用户绑定支持设置有效期。
• 手动录入:管理员可在添加用户时绑定、用户绑定。添加用户时在[用户认证与管理/用户管理/组/用户],可参考新增用户。用户绑定配置指导如下。
步骤1.在[接入管理/用户管理/用户绑定管理/用户绑定],点击<新增>跳转到新增用户绑定页面。
步骤2.勾选启用,设置绑定的用户名和描述,其中,用户名不仅可以对AC本地组织结构中的用户添加绑定关系,还可以对结合第三方服务器认证的用户添加绑定关系,如果这些用户是没有添加到AC的组织结构中,只要知道用户名,绑定关系仍然有效。
步骤3.选择免认证的绑定目的,包括免认证、限制登录、免认证且限制登录,勾选“免认证”。
• 免认证:用户认证后,不需要每次都做认证;
• 限制登录:用户只能在某个范围内进行认证,认证范围指的是绑定对象;
• 免认证且限制登录:用户只能在某个范围内认证,且认证后在免认证有效期内不需要每次都做认证。
步骤4.设置绑定对象:选择用户是绑定IP还是绑定MAC。
:
在绑定MAC时如果管理员不知道该用户所用终端的MAC地址,可以点击<自动获取>输入该用户终端的IP地址后即可自动获取到MAC地址。
步骤5.设置绑定有效期:可以选择设置永不过期和过期时间。
步骤6.点击<提交>,用户绑定成功。
管理员可在用户绑定进行新增、批量编辑、删除、高级搜索、高级设置、选择、导入/导出。也可下载示例模板进行参考。其中:
批量编辑:用于同时设置多个绑定用户的描述信息和免认证设置。
高级搜索:用户可根据基本条件:用户名、IP、MAC进行搜索。根据绑定目的:免认证、限制登录、免认证且限制登录进行筛选。还可以通过加入时间和账号过期时间进行筛选列表中的用户。
下载示例模板:可以点击下载示例模板,根据提示和范例进行填写。
查看用户绑定错误报告:可查看认证过程用户绑定错误的报告。
高级设置:点击<高级设置>可跳到高级选项中,详情配置请参考高级选项中说明。
IP/MAC绑定的作用是为了批量导入,且将IP地址和MAC地址做双向绑定,即用户在认证时,会验证用户的IP和MAC是否符合这里绑定的关系,如果有一方不对,就会认证不通过。为了防止内网有用户随意修改IP的行为。
管理员可对相应的策略做删除、导入、导出操作,当列表策略较多,可以根据IP/MAC来搜索,也可以输入描述的信息,按回车进行搜索即可。
用户通过微信快捷登录后,将微信OpenID和用户信息绑定。管理员可对相应绑定信息做删除、启用、禁用、选择操作。
选择:批量选择绑定信息。
删除:删除绑定信息后,用户无法使用原绑定微信快捷登录,需要重新绑定。
禁用:禁用绑定下信息后,用户无法使用微信快捷登录。
启用:对禁用的绑定信息启用,用户可以重新使用微信快捷登录。
用户通过动态码二次认证后,将动态令牌和用户信息绑定。管理员可对动态令牌进行删除、搜索、排序等,如删除动态令牌绑定关系,用户需要在二次认证中重新绑定。动态令牌状态分为生效中、已过期和异常数据,管理员可点击二维码重新生成动态令牌,对生效中令牌重新生成,动态令牌不会重置;对已过期的动态令牌重新生成,会刷新生效时间,状态重新变为生效中;对异常数据令牌重新生成,状态重新变为生效中。
在高级配置中可对动态令牌绑定关系设置是否删除过期绑定关系和有效期,默认有效期为永不过期,也可自定义有效期为1-720天。
建议使用Chrome浏览器访问!
