双因素认证

双因素身份验证增加了一层额外的安全性，并 防止用户会话的访问，即使有人知道他们的密码 .

使用两种不同因素的组合来实现更高水平的安全性：

1. 他们知道的事情， 一个密码 .
2. 他们拥有的某样东西，一个 设备 - 例如安装了身份验证应用程序的智能手机。 .

您可以使用以下身份验证器应用程序之一继续。 这些应用程序可在广泛的平台上使用。

• Authy
• 谷歌身份验证器
• Microsoft Authenticator

每次用户登录其远程会话时，都需要输入密码和从手机上获取的验证码。一旦配置完成，身份验证应用程序将显示一个验证码，以便他或她随时登录。即使设备处于离线状态，它也能正常工作。

或 您可以选择接收验证码的方式 短信 在这种情况下，您需要在上创建一个免费帐户 Twilio .

双因素身份验证可与 HTML5 和 Remoteapp 连接仅在 TSplus Web 门户上 ，开启 TSplus移动Web和企业版 此身份验证模式不支持通过远程桌面客户端登录。

为了提供更安全的解决方案，启用2FA的用户将被拒绝RDP连接。

作为前提，TSplus 服务器和设备必须准时。请查看 时间同步 和 设置 更多配置信息的部分。

激活双因素身份验证附加许可证

双因素身份验证功能可以在 AdminTool 的附加选项卡中找到：

它可作为10个用户的30天试用版提供。要激活您的许可证，请复制您可以在主页图块底部找到的序列号。

然后，连接到我们的 许可门户 并输入您的订单号、电子邮件地址、序列号，并在下面的下拉列表中选择“Two-Factor Authentication”。

您将获得您的 license.lic 文件。然后，前往该 许可证 点击“激活您的许可证”按钮：

### 启用双因素身份验证

执行以下步骤以启用您的 TSplus 服务器或部署的双因素身份验证。如果您的 TSplus 部署配置为使用多个服务器，请在作为用户单一入口点或具有反向代理角色的 TSplus 服务器上执行此任务。

1. 打开双因素身份验证管理应用程序。双因素身份验证状态和许可证状态显示：

默认情况下，2FA 在 TSplus 网关和独立应用程序服务器上启用。

您只能通过输入认证服务器的 URL 来为 TSplus 应用程序服务器启用它：

或禁用它：

### 添加用户和组

一旦启用双因素身份验证，您可以为用户配置双因素身份验证。

1. 从双因素身份验证管理应用程序中，单击 管理用户 制表符。

然后，点击 添加 选择用户和/或用户组。 选择用户或组 盒子打开。

添加所需的用户和组，然后点击 好的 用户和组被添加到列表中，并启用双因素身份验证。

编辑用户

在同一块区域，您可以通过选择用户并点击“编辑”按钮来编辑用户接收验证码的方式：

用户默认通过身份验证应用接收验证码。您可以选择让他/她通过短信接收验证码，方法是选择该选项并在下面的字段中添加用户的电话号码。

删除用户和组

为了删除用户或组，请选择用户或组，然后点击 删除 显示确认消息。

点击 是的 用户或该组将从其列表中移除，并且将不再使用双因素身份验证进行连接。

重置用户配置

如果用户丢失了身份验证设备，或者用户需要再次显示秘密二维码，则必须重置用户身份验证设置。

1. 从双因素身份验证管理应用程序中，单击 管理用户 制表符。

2. 选择一个或多个已激活的用户，然后点击 重置 显示确认消息：

3) 点击 是的 所选用户将在下次登录时看到一个新的二维码，并需要在其设备的身份验证应用中扫描它。您还可以修改用户的电话号码，以便他可以在新设备上接收验证码。

为用户注册双因素身份验证

一旦用户启用了双因素身份验证，下次从TSplus Web门户成功登录时，将显示激活消息。

为了完成所需的步骤，您有两个选择：要么通过身份验证应用生成代码，要么让用户通过短信接收代码。

使用身份验证应用程序接收代码

用户必须在便携设备上安装身份验证器应用程序，例如他的智能手机。

您可以使用以下身份验证器应用程序之一继续。 这些应用程序可在广泛的平台上使用。

• Authy
• 谷歌身份验证器
• Microsoft Authenticator

请使用每个应用程序的文档以获取有关如何添加您的 TSplus 账户的更多详细信息。

配置短信

为了让用户通过短信接收验证码，您必须先启用此功能。点击一下 配置短信 制表符：

TSplus 利用 Twilio 通过 SMS 发送验证码。Twilio 是一个第三方云平台，与 TSplus 无关。

1. 只需在上面创建一个免费帐户 Twilio 通过点击下面的按钮“开始您的免费试用与 Twilio”：

在您的 Twilio 账户仪表板 您需要激活您的试用号码：

3. 下一步仅对试用版本必要。它允许 Twilio 验证将发送 SMS 的实际电话号码。请在此输入该号码。 “电话号码”菜单 - “验证的来电号码” 选项卡：

您将能够输入您的帐户 SID、身份验证令牌和 试用号码 作为电话号码上的 配置短信 TSplus的选项卡：

然后，点击保存。将显示以下消息：

您可以在上管理您的 Twilio 订阅 管理 Twilio 订阅 部分，在底部的 配置短信 管理您的帐户，查看服务状态或通过点击相应的按钮联系 Twilio 支持中心。

使用双因素身份验证登录

一旦用户在其身份验证应用中配置了他的 TSplus 账户，他或她将能够使用密码和身份验证应用或短信提供的代码进行连接。

时间同步

TSplus 服务器和设备必须准时。这意味着服务器的时间和日期必须与时间服务器同步。设备也必须进行时间同步，无论它们配置的时区是什么。

如果身份验证请求来自于日期和时间未同步的设备，或者如果服务器的日期和时间未同步，则该请求可能会被拒绝。

设备与服务器之间信息的验证与UTC时间有关。 设置 节，差异参数用于管理代码的有效期，间隔为30秒。

验证或有效身份验证示例：

• 服务器与时间服务器同步，时区为 UTC + 2，现在是下午 2:30。
• 设备与时间服务器同步，时区为 UTC + 1，现在是下午 1:30。
• 不一致参数配置为60，即代码有效期为30分钟
• 提到UTC时间，设备时间和服务器时间是相同的。

验证或无效身份验证的示例：

• 服务器与时间服务器同步，时区为 UTC + 2，现在是下午 2:30。
• 设备未与时间服务器同步，时区为UTC-1，时间手动设置为下午1:30。
• 不一致参数配置为60，即代码有效期为30分钟
• 服务器时间指的是协调世界时（UTC）时间为凌晨12:30。
• 设备传达的时间，称为UTC时间，是下午2:30。
• 差异为120分钟，因此验证代码被拒绝。

设置

设置选项卡允许您 允许用户在不需要输入双重身份验证代码的情况下，使用RDP客户端进行连接。

点击“添加”按钮以添加用户，通过选择用户并点击“移除”按钮来移除用户。

高级选项卡允许您配置双因素身份验证的深入设置。

差异

您可以修改差异值，这允许您设置验证码的验证时间。差异值为3意味着相同的验证码在其原始30秒有效期内向前和向后有效90秒。默认值为480，这意味着480 x 30秒= 4小时。

发行人

一个字符串，指示双因素身份验证服务的名称。发行者在客户端移动应用上显示，并识别与生成的验证码相关联的服务。默认情况下，它由服务器的名称和TSplus组成。

首次会话后的有效性

用户可以在不重新验证先前的双因素身份验证代码的情况下打开会话的时间段。此设置允许用户连续从Web应用程序门户打开应用程序。默认值为480分钟。

首次会话前有效性

用户在通过Web门户或移动应用验证双因素身份验证代码后，可以打开会话的时间段，以秒为单位。默认值为3600秒。

数字

显示给用户的数字位数。请注意，此设置可能不被身份验证应用程序支持。此数字必须大于或等于4且小于或等于12。默认值为6。

短信验证代码消息

发送给用户的消息，请求他们在配置为通过短信接收时提供验证码。此消息必须包含 %CODE% 占位符，该占位符将被实际验证码替换。默认内容为：您的 %ISSUER% 验证码是：%CODE%