托管双重身份验证选项
双重身份验证为 Ops Manager 帐户提供了第二层安全保护。
启用后,Ops Manager 需要 2FA来帮助用户控制对其 Ops Manager 帐户的访问。
要登录 Ops Manager,用户必须提供密码(“您知道的信息”)以及身份验证期间提供的第二个时效性验证码(“您拥有的信息”)。 通过要求这两个因素,Ops Manager 可以以更高的置信度批准身份验证请求。
注意
如果 Organization Owner为组织启用了多重身份身份验证,则所有组织成员都必须单独启用多重身份验证才能访问权限该组织。 未启用MFA的组织成员能够访问权限MongoDB Ops Manager ,但不能访问需要MFA的组织。
After you enter your username and password, you are prompted for a six-digit time-sensitive verification code. 此代码会发送到单独的设备,例如手机或安全令牌,您可以读取该设备并将其输入到 Ops Manager 中,完成登录。
注意
要为整个 Ops Manager 环境启用或禁用双重身份验证,请参阅管理 Ops Manager 的双重身份验证。
Ops Manager 提供以下2FA验证码来源:
- 短信 ( SMS )
当MongoDB Ops Manager提示您输入验证码时, MongoDB Ops Manager会使用文本 ( SMS ) 向您提供的电话号码发送 6 位验证码。
收取手机运营商的短信应用。
- 自动语音呼叫(仅限美国/加拿大)
当 Ops Manager 提示您输入验证码时,Ops Manager 会拨打提供的电话号码。 自动化系统会在挂断电话之前总共重复输入 3 次 6 位验证码。
适用移动运营商的语音通话费率。
注意
MongoDB Ops Manager如果 用户所在的地理地区的移动电话服务覆盖范围或可靠性有限,则在通过 短信 或语音接收2 FA 代码时可能会出现延迟。请考虑改用2 FA应用或设备。
当MongoDB Ops Manager提示您输入验证码时,您可以提供在2FA应用中生成的验证码。 您必须先将2FA应用与MongoDB Ops Manager配对。
本教程使用 Google 身份验证 器 移动应用.
还有其他提供2 FA功能的移动设备应用和网络浏览器插件。 您可以使用任何支持TOTP的协议。
您一次只能将一个应用与MongoDB Ops Manager配对。
当MongoDB Ops Manager提示您输入验证码时,您可以提供在2FA PIV设备中生成的验证码。 您必须先使用 MongoDB Ops Manager2FA 应用将 PIV 设备应用与 配对。这些设备必须支持TOTP 。
此过程使用 YubiKey 安全密钥,特别是那些与 身份验证器代码 一起使用的密钥 。使用 TOTP 的其他2 FA PIV 硬件设备应以类似的方式工作。
注意
仅供参考
MongoDB不支持上述服务,其引用仅供参考。 遵循组织的程序选择适当的供应商或服务,通过智能卡或类似设备支持2 FA 。
配置双重身份验证
将MongoDB Ops Manager添加到 Google 身份验证器。
启动 Google 身份验证器。
单击“ +” 。
选择如何将 Google 身份验证器应用与MongoDB Ops Manager配对。
如果您的移动设备或网络浏览器支持扫描条形码,请单击Scan a barcode 。
如果出现提示,请启用设备的摄像头,并将设备点MongoDB Ops Manager页面以捕获条形码。
如果您的移动设备或网络浏览器不支持扫描条形码,或者您希望输入密钥,请单击Enter provided key扫描)。
MongoDB Ops Manager显示带有 Key 的MongoDB Ops Manager Account。
在 Google 身份验证器中,单击Enter provided key ,然后输入帐户和密钥。
(Duo Mobile、Authy 和其他应用程序也有类似的提示。)
扫描条形码或输入帐户和密钥后,Google 身份验证器应用会生成6位数字的代码来验证配对。
收到验证码后,将该代码输入到Verify your code框中。 每个数字都输入在自己的框中。
Ops Manager 会自动验证代码并保存您的设置。
下载并安装 Yubico 身份验证器。
从网络浏览器下载 Yubico Authenticator 应用程序。
双击安装程序,然后按照提示进行操作。
将MongoDB Ops Manager添加到 Yubikey。
启动 Yubico 身份验证器。
确保您的网络浏览器已打开MongoDB Ops Manager Two-Factor Authentication 模式,并选择了 Google Authenticator 按钮。
从 Yubico Authenticator 的File菜单中,选择Scan QR code... 。
在New credential对话框中,确认以下设置:
选项接受的值保持默认值?发行者
要在MongoDB Ops Manager的 Yubico 身份验证器应用程序中显示的名称。
您的选择
账户名称
您的MongoDB Ops Manager用户名。
是
密钥
从 QR 码生成的令牌。
是
类型
确定何时生成新代码的方法。
是
算法
令牌使用的加密算法。
是
period
每个验证码的有效时长。
是
数字
验证码的位数。
是
需要触摸
表示接受验证码时,用户必须接触 Yubikey 上的联系人。
用户选择
单击 Save credential(连接)。
验证码显示在 Yubico 身份验证器中您为MongoDB Ops Manager提供的标题下(作为 Issuer)。
收到验证码后,将该代码输入到Verify your code框中。 每个数字都输入在自己的框中。
注意
您可以从 Yubico Authenticator应用程序复制代码。 单击您指定的Issuer名称,然后从Edit菜单中选择Copy to Clipboard 。
Ops Manager 会自动验证代码并保存您的设置。
共享帐户的双重身份验证
共享同一MongoDB Ops Manager帐户的全球团队可以使用 Google 身份验证器,并为所有团队成员使用相同的种子代码。 要生成所有团队成员都可以使用的通用种子代码,请在使用 Google 身份验证器配置双因素身份验证时选择Can't scan the barcode?链接。
生成新的恢复代码
作为备份,当您无法使用手机、 2FA应用或2FA设备时,您可以生成恢复代码以代替发送的代码。 每个恢复代码都是一次性的,您应将这些代码保存在安全的地方。 生成新的恢复代码时,会使之前生成的恢复代码失效。
重置传统双重身份验证
如果您已启用旧版2FA ,但失去了对2FA设备的访问权限,则可以为您的账户重置2FA 。
使用用户名和密码登录 Ops Manager。
当显示2FA提示时:
单击 Reset your two-factor authentication(管理员)链接。
单击Ops Manager user? Click here Reset Two Factor Authentication模态底部的 。
输入您的 Ops Manager 用户名。
单击 Reset Two Factor Authentication(连接)。
Ops Manager 电子邮件发送指向与 Ops Manager 用户名关联的电子邮件帐户的链接。
检查您的电子邮件。
单击 Ops Manager 发送的链接以启动2FA重置过程。
按照2FA重置页面上的说明进行操作。 完成重置程序后,Ops Manager 允许您登录 Ops Manager 帐户,而无需2FA代码。