双因素认证

目录

• 概述
• 要求
• 激活您的许可证
• 启用双因素身份验证
• 添加用户和组
• 编辑用户
• 删除用户和组
• 重置用户配置
• 为用户注册双因素身份验证
• 使用身份验证器应用接收代码
• 配置 SMS 以接收身份验证代码
• 使用双因素身份验证登录
• 时间同步
• 设置

概述

双因素身份验证增加了一层额外的安全性，并 防止用户会话的访问，即使有人知道他们的密码 .

使用两种不同因素的组合来实现更高水平的安全性：

1. 他们知道的事情， 一个密码 .
2. 他们拥有的某样东西，一个 设备 - 例如安装了身份验证应用程序的智能手机。 .

您可以使用以下身份验证器应用程序之一继续。 这些应用程序可在广泛的平台上使用。

• Authy
• 谷歌身份验证器
• Microsoft Authenticator

每次用户登录其远程会话时，都需要输入密码和从手机上获取的验证码。一旦配置完成，身份验证应用程序将显示一个验证码，以便他或她随时登录。即使设备处于离线状态，它也能正常工作。

或 您可以选择接收验证码的方式 短信 在这种情况下，您需要在上创建一个免费帐户 Twilio .

这 2FA 生成的代码是 TOTP （基于时间的一次性密码），因此仅供一次使用。

因此，无法重复使用已经使用过的2FA代码。这可以防止通过观察用户输入代码来窃取和使用2FA代码。

要求

双因素身份验证需要 TSplus Remote Access 移动网页 或 企业版 版本。

支持两因素身份验证的有：

• TSplus Remote Access 网络门户 用于 HTML5 和 Remoteapp 连接
• TSplus 连接客户端，适用于自版本 15.30.3.15 以来生成的客户端，明确启用了 2FA 支持。请参见 便携式客户端生成器对双因素身份验证的支持
• 2FA与Windows用户相关，而不是Web凭据。

此身份验证模式不支持通过标准 Microsoft 远程桌面客户端 (mstsc.exe) 登录。

为了提供更安全的解决方案，启用2FA的用户将被拒绝RDP连接。

作为前提，TSplus 服务器和设备必须准时。请查看 时间同步 和 设置 更多配置信息的部分。

激活双因素身份验证附加许可证

双因素身份验证功能可以在 AdminTool 的附加选项卡中找到：

### 启用双因素身份验证

执行以下步骤以启用您的 TSplus 服务器或部署的双因素身份验证。如果您的 TSplus 部署配置为使用多个服务器，请在作为用户单一入口点或具有反向代理角色的 TSplus 服务器上执行此任务。

1. 打开双因素身份验证管理应用程序。双因素身份验证状态和许可证状态显示：

默认情况下，2FA 在 TSplus 网关和独立应用程序服务器上启用。

您只能通过输入认证服务器的 URL 来为 TSplus 应用程序服务器启用它：

或禁用它：

### 添加用户和组

一旦启用双因素身份验证，您可以为用户配置双因素身份验证。

1. 从双因素身份验证管理应用程序中，单击 管理用户 制表符。

2. 然后，点击上 添加 选择用户和/或用户组。 选择用户或组 盒子打开。

添加所需的用户和组，然后点击 好的 用户和组被添加到列表中，并启用双因素身份验证。

这里是添加用户/组的命令
3种可能的参数：

仅域名
TwoFactor.Admin.exe /addusers domainName1

• 添加用户时使用默认值（接收方式 = 应用程序，未输入电子邮件和电话字段）

域名和接收方式
TwoFactor.Admin.exe /addusers domainName1;SMS

• 添加用户与所需的接收方式，但不尝试激活它

域名，接收方式，电话字段（即使为空），电子邮件字段（即使为空）
TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606; [email protected] 域名2;电子邮件;; [email protected] domainName3;短信;+33606060607; domainName4

• 与HMI中的行为相同，当我们添加用户后，再用正确的信息进行编辑：我们尝试激活该用户。

如最后一个例子所示，可以指示多个用户（用空格分隔）。用户的不同字段用分号分隔。

对于单个组：
TwoFactor.Admin.exe /addgroups group1 group2 group3

编辑用户

在同一块区域，您可以通过选择用户并点击“编辑”按钮来编辑用户接收验证码的方式：

用户默认通过身份验证应用接收验证码。您可以选择他/她通过短信或电子邮件接收验证码。

选择了短信并在字段中添加了用户的电话号码，或选择了电子邮件并添加了用户的电子邮件。

删除用户和组

为了删除用户或组，请选择用户或组，然后点击 删除 显示确认消息。

点击 是的 用户或该组将从其列表中移除，并且将不再使用双因素身份验证进行连接。

重置用户配置

如果用户丢失了身份验证设备，或者用户需要再次显示秘密二维码，则必须重置用户身份验证设置。

1. 从双因素身份验证管理应用程序中，单击 管理用户 制表符。

2. 选择一个或多个已激活的用户，然后点击 重置 显示确认消息：

3) 点击 是的 所选用户将在下次登录时看到一个新的二维码，并需要在其设备的身份验证应用中扫描它。您还可以修改用户的电话号码，以便他可以在新设备上接收验证码。

为用户注册双因素身份验证

一旦用户启用了双因素身份验证，下次从TSplus Web门户成功登录时，将显示激活消息。

为了完成所需的步骤，您有两个选择：要么通过身份验证应用生成代码，要么让用户通过短信接收代码。

使用身份验证应用程序接收代码

用户必须在便携设备上安装身份验证器应用程序，例如他的智能手机。

您可以使用以下身份验证器应用程序之一继续。 这些应用程序可在广泛的平台上使用。

• Authy
• 谷歌身份验证器
• Microsoft Authenticator

请使用每个应用程序的文档以获取有关如何添加您的 TSplus 账户的更多详细信息。

配置短信

为了让用户通过短信接收验证码，您必须先启用此功能。点击一下 配置短信 制表符：

TSplus 利用 Twilio 通过 SMS 发送验证码。Twilio 是一个第三方云平台，与 TSplus 无关。

1. 只需在上面创建一个免费帐户 Twilio 通过点击下面的按钮“开始您的免费试用与 Twilio”：

在您的 Twilio 账户仪表板 您需要激活您的试用号码：

3. 下一步仅对试用版本必要。它允许 Twilio 验证将发送 SMS 的实际电话号码。请在此输入该号码。 “电话号码”菜单 - “验证的来电号码” 选项卡：

您将能够输入您的帐户 SID、身份验证令牌和 试用号码 作为电话号码上的 配置短信 TSplus的选项卡：

然后，点击保存。将显示以下消息：

您可以在上管理您的 Twilio 订阅 管理 Twilio 订阅 部分，在底部的 配置短信 管理您的帐户，查看服务状态或通过点击相应的按钮联系 Twilio 支持中心。

配置电子邮件

要让用户通过电子邮件接收验证码，您必须首先配置您的SMTP电子邮件。

使用双因素身份验证登录

一旦用户在其身份验证应用中配置了他的 TSplus 账户，他或她将能够使用密码和身份验证应用提供的代码，通过短信或电子邮件进行连接。

来自 TSplus Remote Access Web 门户：

来自TSplus生成的客户端：

### 时间同步

TSplus 应用服务器和客户端设备必须共享相同的时间。这意味着服务器的时间和日期必须与时间服务器同步。客户端设备也必须进行时间同步，无论它们配置的时区是什么。

如果身份验证请求来自于日期和时间未同步的设备，或者如果服务器的日期和时间未同步，则该请求可能会被拒绝。

设备与服务器之间信息的验证与UTC时间有关。 设置 节，差异参数用于管理代码的有效期，间隔为30秒。

验证或有效身份验证示例：

• 服务器与时间服务器同步，时区为 UTC + 2，现在是下午 2:30。
• 设备与时间服务器同步，时区为 UTC + 1，现在是下午 1:30。
• 不一致参数配置为60，即代码有效期为30分钟
• 提到UTC时间，设备时间和服务器时间是相同的。

验证或无效身份验证的示例：

• 服务器与时间服务器同步，时区为 UTC + 2，现在是下午 2:30。
• 设备未与时间服务器同步，时区为UTC-1，时间手动设置为下午1:30。
• 不一致参数配置为60，即代码有效期为30分钟
• 服务器时间指的是协调世界时（UTC）时间为凌晨12:30。
• 设备传达的时间，称为UTC时间，是下午2:30。
• 差异为120分钟，因此验证代码被拒绝。

设置

设置选项卡允许您 允许用户在不需要输入双重身份验证代码的情况下，使用RDP客户端进行连接。

点击“添加”按钮以添加用户，通过选择用户并点击“移除”按钮来移除用户。

高级选项卡允许您配置双因素身份验证的深入设置。

差异

您可以修改差异值，这允许您设置验证码的验证时间。差异值为3意味着相同的验证码在其原始30秒有效期内向前和向后有效90秒。默认值为480，这意味着480 x 30秒= 4小时。

发行人

一个字符串，指示双因素身份验证服务的名称。发行者在客户端移动应用上显示，并识别与生成的验证码相关联的服务。默认情况下，它由服务器的名称和TSplus组成。

首次会话后的有效性

用户可以在不重新验证先前的双因素身份验证代码的情况下打开会话的时间段。此设置允许用户连续从Web应用程序门户打开应用程序。默认值为480分钟。

首次会话前有效性

用户在通过Web门户或移动应用验证双因素身份验证代码后，可以打开会话的时间段，以秒为单位。默认值为3600秒。

数字

显示给用户的数字位数。请注意，此设置可能不被身份验证应用程序支持。此数字必须大于或等于4且小于或等于12。默认值为6。

短信验证代码消息

发送给用户的消息，请求他们在配置为通过短信接收时提供验证码。此消息必须包含 %CODE% 占位符，该占位符将被实际验证码替换。默认内容为：您的 %ISSUER% 验证码是：%CODE%

短信安全期

该期间从用户通过短信请求身份验证代码时开始。在此期间，用户可以通过短信请求新的身份验证代码，直到请求的短信数量达到阈值（以小时为单位，默认值为24小时）。

短信安全阈值

阈值定义了每个用户在指定时间段内能够请求的最大短信认证代码数量（默认值为6）。