管理员配置好认证服务器和对应的用户目录源,此时系统会根据用户目录的相关信息,自动在[业务管理/认证管理/认证策略]创建一个对应用户目录的默认认证策略,认证策略针对的是用户目录内所有的用户,用户登录将默认使用默认策略进行登录,管理员可针对不同用户目录的不同用户/组织架构新建认证策略。
认证策略可针对用户实现,用户登录使用终端认证、二次认证、特定条件免二次认证和一键上线、增强认证等,一下根据本地用户目录策略进行举例,分别实现用户登录使用终端认证、二次认证、特定条件免二次认证和一键上线、增强认证策略。
二次认证可实现在用户进行首次认证(账号密码认证、证书认证、票据认证)之后,再次进行认证以验证用户身份的可靠性,aTrust支持的二次认证方式有:短信认证、TOTP令牌认证、Radius动态令牌认证、证书认证、https令牌认证。
以下通过TOTP动态令牌认证作为二次认证举例说明二次认证配置过程,具体配置如下:
步骤1. 管理员已配置好TOTP动态令牌认证服务器(具体配置可参考5.2.13 TOTP动态令牌认证),进入[业务管理/认证管理/认证策略]选择本地用户目录,点击<默认策略>对所有用户进行认证策略配置或<新增>选择指定的用户进行认证策略配置,本次举例选择编辑默认策略,对用户目录里的所有用户进行策略配置。
步骤2. 进入认证策略配置界面,在PC/WEB端认证和移动端认证-认证方式的二次认证,开启TOTP动态令牌为二次认证,点击<保存>完成认证策略的配置。
步骤3. 效果验证,用户登录输入账号密码后,还必须使用TOTP动态令牌进行验证。
aTrust开启二次认证后,用户易用性上会存在减弱,配置自适应可在二次认证基础上,进一步提升登录安全及认证体验。典型使用模式是:在发现异常风险如异常时间段登录时进行增强认证(提升安全)、在符合安全要求的终端上免除二次认证或允许一键登录(提升体验)。
aTrust平台支持用户在授信终端、特定的网络区域和指定Windows域登录时,实现免二次认证。我们已经在“5.2.2.2二次认证”,完成了认证策略中的二次认证配置,此时我们可基于上述的操作,完成免二次认证的配置。
我们以用户在授信终端下可免二次认证为案例说明免二次认证配置过程,具体配置如下:
步骤1. 配置授信终端条件时,管理员进入[安全中心/安全基线/扩展条件]点击<新增>配置用户终端在什么网络环境下,可设置为授信终端。
步骤2. 在[业务管理/认证管理/认证策略]编辑用户认证策略进入认证策略配置页面,在[自适应认证/免二次认证]处可点击[授信终端设置]进入授信终端配置页面,也可以直接在[业务管理/终端管理/授信终端列表/授信终端设置]进入授信终端配置页面。
启用授信终端功能,并设置用户在研发网络时可以自助绑定授信终端
点击<保存>完成授信终端的配置。
步骤3. 在免二次认证处,勾选<使用授信终端登录时>,点击<保存>完成配置。
步骤4. 用户首次登录,会进行用户名认证和二次认证,登录成功后,提示是否进行授信终端的绑定,点击<信任终端>,即可绑定该终端为授信终端。
步骤5. 绑定授信终端后,用户重新登陆,授信终端的用户登录,可实现免二次认证,无需再输入TOTP令牌进行认证,直接登陆成功。
aTrust平台支持用户在授信终端、特定的网络区域和指定Windows域登录时,可以保存认证票据,在下次登陆时可以不用做任何认证直接一键上线成功。配置过程与<5.2.2.3.1免二次认证>基本一致,不再赘述具体配置。
功能效果说明:
2.一键正常使用场景:
• 开启一键上线功能后,符合条件的客户端退出时会提示是否保留账号信息。
勾选保留账号信息,点击确定退出后,下次点开客户端即可自动登陆。
• 用户正常登陆,客户端开启开机自启动功能,用户下班时直接关机,下次开机可实现aTrust客户端开机自动上线。
3.一键上线在以下场景下失效:
• 用户在客户端主动注销,不会保留认证信息,无法一键上线;
• 退出客户端时不勾选保存账号信息,则下次登陆也无法一键上线
• 用户一键上线触发上线准入策略验证不通过,用户被强制下线;
• 管理员在【监控中心/用户监控/在线用户列表】注销用户;
• 用户因超过【业务管理/策略管理/用户策略】中的【同时在线设备上限】限制导致被注销;
• 一键上线仅针对客户端生效,纯web登录无效。
客户配置了二次认证和豁免认证后,考虑到第三方的用户存在弱密码、异常时间段和异地登录是属于不安全的登录,此时想要进行增强认证,严控客户的终端环境。
步骤1. 在完成二次认证和一键上线后,进入认证策略配置界面,在自适应认证里面配置增强证条件,点击<保存>完成配置。
步骤2. 完成上述配置后,用户登录环境下,满足了增强认证条件,会被强制要求做增强认证。
建议使用Chrome浏览器访问!
