1. MFA 配置
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. MFA 配置

MFA基础配置

MFA规则配置#

概述#

MFA规则配置允许管理员根据不同的安全需求和场景灵活配置多因子认证触发条件,无需对所有登录一刀切地要求MFA验证,实现智能化、自适应的安全策略管理。通过合理配置MFA规则,可以在保障安全性和用户体验之间取得平衡。

应用场景#

差异化安全策略:对不同重要程度的账号、应用和场景应用不同级别的安全策略
异常登录保护:在检测到异常登录位置、设备或时间时,自动增加安全验证
关键操作保护:对关键业务操作进行额外的身份验证,防止未授权使用
合规要求:满足行业监管对高价值数据和系统访问的多因素验证要求
地理位置访问控制:针对不同地理位置的登录设置不同的安全级别

前提条件#

已在平台基础设置中开启 MFA 功能
用户已完成相关验证方式的配置(如动态令牌绑定)
管理员拥有配置平台安全策略的权限

配置步骤#

步骤 1:访问 MFA 规则配置页面#

1
登录管理控制台
登录集成平台管理控制台
2
导航至配置页面
在左侧导航栏选择「参数配置」>「平台设置 > 自适应 MFA 规则配置」
image.png

步骤 2:MFA 白名单配置#

白名单功能允许指定特定用户、角色或IP地址免除MFA验证,适用于内部系统、测试账号或已知安全环境的访问。
image.png
用户白名单:
点击「添加用户」按钮
在弹出的用户选择框中搜索并选择需要加入白名单的用户
被选中的用户登录时将不会触发 MFA 认证
角色白名单:
点击「添加角色」按钮
选择需要加入白名单的角色
该角色下的所有用户登录时将不会触发 MFA 认证
IP白名单:
点击「添加IP」按钮
输入需要加入白名单的 IP 地址或 IP 段(支持 CIDR 格式,如 192.168.1.0/24)
从白名单 IP 登录的用户将不会触发 MFA 认证

步骤 3:基于地理位置的 MFA 配置#

根据用户登录的地理位置动态决定是否要求MFA认证,防范跨区域、跨国异常访问风险。
image.png
系统提供四种地理位置验证模式:
1.
严格模式:
只允许来自指定地区的登录,其他地区登录必须进行 MFA 验证
点击「添加安全地区」,选择允许无 MFA 登录的国家/地区
适用于业务活动仅限特定区域的企业
2.
中等模式:
来自高风险地区的登录必须进行 MFA 验证
系统预设了高风险地区列表,也可自定义配置
平衡安全性和便利性的常用选择
3.
宽松模式:
仅在检测到跨国登录时要求 MFA 验证
适合主要在一个国家/地区开展业务的企业
4.
自定义模式:
根据企业特定需求自定义地理位置验证规则
可组合配置安全地区和风险地区
支持细粒度的国家、省份、城市级别控制

步骤 4:新设备判定规则#

定义系统如何识别新设备登录,并据此触发MFA验证,有效防范设备被盗或账号共享风险。
image.png
配置选项包括:
1.
设备识别方式:
浏览器指纹:基于浏览器特征识别设备
设备ID:基于硬件特征识别设备
两者结合:同时使用两种方式,提供更精确的设备识别
2.
MFA 验证触发条件:
开启「新设备登录时触发 MFA 验证」开关
设置设备信息有效期(默认 30 天),超过有效期需重新验证
3.
设备记忆范围:
每用户最多记忆设备数量(默认 5 台)
超出数量时,最早记忆的设备会被移除

步骤 5:非常规工作时间的 MFA#

针对非正常工作时间的登录请求增加安全验证,防范利用下班时间进行的未授权访问。
image.png
配置步骤:
1.
开启「非常规工作时间 MFA 验证」开关
2.
设置正常工作时间:
工作日:选择一周中的工作日(如周一至周五)
工作时段:设置每天的工作时间范围(如 9:00-18:00)
3.
在非工作时间登录的用户将被要求进行 MFA 验证

MFA 验证方式配置#

除了规则配置外,还需要在 MFA 设置页面配置支持的验证方式:
1.
验证方式开关:
短信验证码:通过手机短信接收验证码
邮箱验证码:通过邮箱接收验证码
基于时间的 MFA(TOTP):使用动态令牌应用生成验证码
基于 Passkey 的 MFA:使用符合 FIDO2 标准的安全密钥(如指纹、面部识别或 USB 安全密钥)进行免密身份验证
2.
验证优先级:
设置当多种验证方式可用时的优先顺序
可选择让用户自行选择验证方式
3.
验证作用范围:
管理控制台 MFA:控制后台管理界面是否需要 MFA 验证
用户服务台 MFA:控制普通用户登录是否需要 MFA 验证

最佳实践#

1.
分层安全策略:
为管理员和普通用户设置不同的 MFA 要求
为不同安全级别的应用设置不同的验证策略
2.
白名单合理使用:
仅将可信用户和环境加入白名单
定期审核白名单内容,移除不再需要的例外
3.
地理位置策略优化:
根据企业业务区域设置合适的地理位置策略
考虑员工出差等场景,提供应急措施
4.
新设备策略均衡:
设置合理的设备有效期,过短会导致频繁验证
设备记忆数量要考虑用户使用多设备的实际情况
5.
工作时间策略灵活性:
考虑不同部门的工作时间差异
节假日等特殊时段可能需要临时调整

常见问题#

Q:如何处理紧急情况下无法完成 MFA 的用户?
Q:旅行中的员工可能会触发地理位置 MFA,如何处理?
Q:如何平衡安全性和用户体验?
修改于 2026-05-07 03:38:45
上一页
自动登录功能配置
下一页
使用连接流自定义 MFA 策略
Built with