身份验证
以下字段可供编辑:
注意
标有
*
的字段为必填项。
双因素认证
强制启用双因素认证(推荐)
双因素认证(2FA)通过要求额外输入 GravityZone 认证码(除 控制中心 凭据。
双因素认证(2FA)需下载并安装Google Authenticator、Microsoft Authenticator或任何兼容标准 RFC6238 的基于时间的一次性密码(TOTP)验证器应用——可安装在用户的智能手机或电脑等设备上。
验证器应用每30秒生成一个六位数代码。用户需在输入密码后提供该六位验证码才能完成 控制中心 登录。
创建公司时默认启用双因素认证且不可更改。登录时会弹出配置窗口提示用户启用此功能。用户最多可 跳过5次 2FA配置。第六次登录时将强制要求配置,否则禁止登录。
用户信任浏览器 功能允许指定 GravityZone 记住登录控制中心所用浏览器的时效:
-
选择 永不 则每次登录都需输入验证器六位码。
-
选择 1 至 90天 允许用户在该特定时间段内跳过输入六位数验证码,直接登录至 控制中心 。要启用此选项,用户还需勾选 记住此设备 复选框(位于 GravityZone 登录界面)。
默认情况下,一个浏览器对应一台设备(如计算机)。若用户从未被记录的浏览器登录,则需通过验证器输入六位数验证码。关于 信任此浏览器 选项失效的场景详情,请参阅 此专题 .
注意
-
您可在 账户 页面查看用户账户的双因素认证状态。
-
若用户因更换新设备(手机或电脑)或丢失密钥无法登录 GravityZone ,您可通过用户账户页面的 双因素认证 部分重置其双因素认证激活。更多细节请参考 用户账户 .
-
修改设备记忆周期将反映在 控制中心 .
-
在公共API方面,
skip2FA参数对应 信任此浏览器 选项,与createCompany和updateCompanyDetails方法配合使用。具体用法请参考 createCompany 和 updateCompanyDetails .
密码过期选项
将密码最长使用期限设为90天
此选项启用密码过期策略。用户需在指定期限前更改密码,否则将无法登录 GravityZone 。
5次无效密码尝试后锁定账户
此选项限制连续无效密码尝试次数以防止攻击。当计数器达到阈值时,账户将被锁定,用户需重置密码。
该策略适用于在 GravityZone .
当为某公司启用账户锁定选项时,将向该公司所有用户发送通知。
配置基于SAML的单点登录
GravityZone 支持服务提供方(SP)发起的单点登录(SSO),作为传统用户名密码登录的简便安全替代方案。
此方法需与第三方身份提供商(IdP)集成,这些IdP使用SAML 2.0协议对GravityZone用户进行认证并授予其访问控制中心的权限,例如AD FS、Okta和Azure AD。
以下是 GravityZone SSO的工作流程:
-
用户在 GravityZone 登录页面输入其电子邮箱地址。
-
GravityZone 创建SAML请求并将其转发至身份提供商(IdP),同时将用户重定向至身份提供商认证页面。
-
用户需通过身份提供商进行认证。
-
身份提供商以X.509证书签名的XML文档形式向 GravityZone 发送响应,并将用户重定向回 GravityZone .
-
GravityZone 获取响应后,通过证书指纹验证其有效性,随后允许用户无需其他交互即可登录 控制中心 。
只要用户与身份提供商保持有效会话,即可持续自动登录 控制中心 。
为企业启用单点登录需按以下步骤操作:
-
将身份提供商配置为使用 GravityZone 作为服务提供商。支持的身份提供商及配置详情请参阅 本文 .
-
在企业详情页面的 配置SAML单点登录 栏目下,在对应字段输入身份提供商元数据URL。
-
配置企业下属用户通过其身份提供商认证,详情参见 使用第三方身份提供商配置单点登录 .
如需禁用所管理企业的单点登录功能,请删除身份提供商元数据URL。
企业单点登录功能禁用后,用户将自动切换至通过 GravityZone 凭据。用户可通过点击 忘记密码? 链接在 控制中心 登录页面上获取新密码。
重新为公司启用SSO后,用户将继续使用 控制中心 的 GravityZone 凭据登录。您需要手动配置每个账户以再次使用SSO。
重要提示
您无法在 GravityZone .