托管双重身份验证选项
双重身份验证为 Ops Manager 帐户提供了第二层安全保护。
启用后,Ops Manager 需要 2FA来帮助用户控制对其 Ops Manager 帐户的访问。
要登录 Ops Manager,用户必须提供密码(“您知道的信息”)以及身份验证期间提供的第二个时效性验证码(“您拥有的信息”)。 通过要求这两个因素,Ops Manager 可以以更高的置信度批准身份验证请求。
注意
如果 Organization Owner为组织启用了多重身份身份验证,则所有组织成员都必须单独启用多重身份验证才能访问权限该组织。 未启用MFA的组织成员能够访问权限MongoDB Ops Manager ,但不能访问需要MFA的组织。
After you enter your username and password, you are prompted for a six-digit time-sensitive verification code. 此代码会发送到单独的设备,例如手机或安全令牌,您可以读取该设备并将其输入到 Ops Manager 中,完成登录。
注意
要为整个 Ops Manager 环境启用或禁用双重身份验证,请参阅管理 Ops Manager 的双重身份验证。
Ops Manager 提供以下2FA验证码来源:
- 短信 ( SMS )
当MongoDB Ops Manager提示您输入验证码时, MongoDB Ops Manager会使用文本 ( SMS ) 向您提供的电话号码发送 6 位验证码。
收取手机运营商的短信应用。
- 自动语音呼叫(仅限美国/加拿大)
当 Ops Manager 提示您输入验证码时,Ops Manager 会拨打提供的电话号码。 自动化系统会在挂断电话之前总共重复输入 3 次 6 位验证码。
适用移动运营商的语音通话费率。
注意
MongoDB Ops Manager如果 用户所在的地理地区的移动电话服务覆盖范围或可靠性有限,则在通过 短信 或语音接收2 FA 代码时可能会出现延迟。请考虑改用2 FA应用或设备。
当MongoDB Ops Manager提示您输入验证码时,您可以提供在2FA应用中生成的验证码。 您必须先将2FA应用与MongoDB Ops Manager配对。
本教程使用 Google 身份验证 器 移动应用.
还有其他提供2 FA功能的移动设备应用和网络浏览器插件。 您可以使用任何支持TOTP的协议。
您一次只能将一个应用与MongoDB Ops Manager配对。
当MongoDB Ops Manager提示您输入验证码时,您可以提供在2FA PIV设备中生成的验证码。 您必须先使用 MongoDB Ops Manager2FA 应用将 PIV 设备应用与 配对。这些设备必须支持TOTP 。
此过程使用 YubiKey 安全密钥,特别是那些与 身份验证器代码 一起使用的密钥 。使用 TOTP 的其他2 FA PIV 硬件设备应以类似的方式工作。
注意
仅供参考
MongoDB不支持上述服务,其引用仅供参考。 遵循组织的程序选择适当的供应商或服务,通过智能卡或类似设备支持2 FA 。
配置双重身份验证
将MongoDB Ops Manager添加到 Google 身份验证器。
启动 Google 身份验证器。
单击“ +” 。
选择如何将 Google 身份验证器应用与MongoDB Ops Manager配对。
如果您的移动设备或网络浏览器支持扫描条形码,请单击Scan a barcode 。
如果出现提示,请启用设备的摄像头,并将设备点MongoDB Ops Manager页面以捕获条形码。
如果您的移动设备或网络浏览器不支持扫描条形码,或者您希望输入密钥,请单击Enter provided key扫描)。
MongoDB Ops Manager显示带有 Key 的MongoDB Ops Manager Account。
在 Google 身份验证器中,单击Enter provided key ,然后输入帐户和密钥。
(Duo Mobile、Authy 和其他应用程序也有类似的提示。)
扫描条形码或输入帐户和密钥后,Google 身份验证器应用会生成6位数字的代码来验证配对。
收到验证码后,将该代码输入到Verify your code框中。 每个数字都输入在自己的框中。
Ops Manager 会自动验证代码并保存您的设置。
另请参阅:
将第三方应用程序与 Duo Mobile 配对
将第三方应用程序与 Authy 配对
将第三方应用程序与 Microsoft Authenticator 配对
下载并安装 Yubico 身份验证器。
从网络浏览器下载 Yubico Authenticator 应用程序。
双击安装程序,然后按照提示进行操作。
将MongoDB Ops Manager添加到 Yubikey。
启动 Yubico 身份验证器。
确保您的网络浏览器已打开MongoDB Ops Manager Two-Factor Authentication 模式,并选择了 Google Authenticator 按钮。
从 Yubico Authenticator 的File菜单中,选择Scan QR code... 。
在New credential对话框中,确认以下设置:
选项接受的值保持默认值?发行者
要在MongoDB Ops Manager的 Yubico 身份验证器应用程序中显示的名称。
您的选择
账户名称
您的MongoDB Ops Manager用户名。
是
密钥
从 QR 码生成的令牌。
是
类型
确定何时生成新代码的方法。
是
算法
令牌使用的加密算法。
是
period
每个验证码的有效时长。
是
数字
验证码的位数。
是
需要触摸
表示接受验证码时,用户必须接触 Yubikey 上的联系人。
用户选择
单击 Save credential(连接)。
验证码显示在 Yubico 身份验证器中您为MongoDB Ops Manager提供的标题下(作为 Issuer)。
收到验证码后,将该代码输入到Verify your code框中。 每个数字都输入在自己的框中。
注意
您可以从 Yubico Authenticator应用程序复制代码。 单击您指定的Issuer名称,然后从Edit菜单中选择Copy to Clipboard 。
Ops Manager 会自动验证代码并保存您的设置。
共享帐户的双重身份验证
共享同一MongoDB Ops Manager帐户的全球团队可以使用 Google 身份验证器,并为所有团队成员使用相同的种子代码。 要生成所有团队成员都可以使用的通用种子代码,请在使用 Google 身份验证器配置双因素身份验证时选择Can't scan the barcode?链接。
生成新的恢复代码
作为备份,当您无法使用手机、 2FA应用或2FA设备时,您可以生成恢复代码以代替发送的代码。 每个恢复代码都是一次性的,您应将这些代码保存在安全的地方。 生成新的恢复代码时,会使之前生成的恢复代码失效。
重置传统双重身份验证
如果您已启用旧版2FA ,但失去了对2FA设备的访问权限,则可以为您的账户重置2FA 。
使用用户名和密码登录 Ops Manager。
当显示2FA提示时:
单击 Reset your two-factor authentication(管理员)链接。
单击Ops Manager user? Click here Reset Two Factor Authentication模态底部的 。
输入您的 Ops Manager 用户名。
单击 Reset Two Factor Authentication(连接)。
Ops Manager 电子邮件发送指向与 Ops Manager 用户名关联的电子邮件帐户的链接。
检查您的电子邮件。
单击 Ops Manager 发送的链接以启动2FA重置过程。
按照2FA重置页面上的说明进行操作。 完成重置程序后,Ops Manager 允许您登录 Ops Manager 帐户,而无需2FA代码。