登录动态令牌服务
登录天翼云密码服务管理控制台。
在左侧导航栏选择“密码服务”,进入“密码服务”页面。
选择需要登录的时间戳服务实例,单击右上角的“管理”,进入实例登录页面,选择登录方式。
进入动态令牌服务管理页。
添加用户
添加用户支持手动在页面中添加用户和通过导入文件来实现批量的添加用户两种方式。
在左侧导航栏选择“动态令牌服务 > 用户管理”,进入“用户管理”页面。
单击页面左上角的“添加”按钮,在弹出的对话框中填写用户信息。
完成后,单击“确定”即可完成用户添加。
绑定令牌
在绑定令牌之前,需要在手机上下载并安装移动令牌APP(搜索“移动令牌”,IOS直接在Apple Store下载,安卓端在应用市场下载)。
绑定令牌操作,可以在添加用户时,立刻绑定令牌;也可以在添加用户之后,再绑定令牌。
在添加用户时,可以勾上“是否立即绑定令牌”,后选择令牌类型,有移动令牌和硬件令牌两种选项,这里先选择“移动令牌”;
单击确认后会弹出一个移动令牌的二维码(注意:该二维码只会显示一次,关闭该窗口后,无法再次显示此二维码),打开下载好的移动令牌APP,单击右上角扫描的图标,进行扫描绑定即可;
验证令牌口令
绑定了令牌之后,可以根据移动令牌app上的动态令牌数字或者硬件令牌上的动态口令,进行口令的验证,具体操作步骤如下:
硬件令牌管理
硬件令牌管理是动态令牌服务的一个重要组成部分,用户进行身份认证时需要使用自己的令牌生成动态口令,才能通过认证。
管理服务安装完成以后,请提交工单联系天翼云客服获取文件,使用工具加密后导入种子文件(令牌信息),需要将令牌信息导入到管理服务的数据库中,才能将软件系统和令牌结合起来,提供身份认证功能。
管理服务支持的令牌文件有:Tnk格式令牌文件,具体的操作步骤如下:
单击页面左边导航栏中的“硬件令牌管理”,选择“上传令牌文件”,进入上传令牌文件页面。
选择tnk文件上传。
添加应用
单击页面左边导航栏中的“应用管理”,选择“应用管理”下的“新增”,进入新增应用页面。
页面上带有星号*标识项为必填项,不允许为空。
应用认证支持访问密钥方式,可在应用列表中下载访问密钥信息。
按要求填写应用配置信息,单击“保存”按钮,系统提示保存成功。
访问密钥管理
在成功添加完应用后,系统可以生成应用的密钥,以及密钥的启用/停用,具体操作步骤如下所示:
单击页面左边导航栏中的“应用管理”,单击“访问密钥管理”。
单击“生成密钥”按钮,即可生成密钥;还可以点击“下载”按钮,下载密钥文件,密钥文件只能下载一次,请妥善保存。
动态令牌策略管理
动态令牌策略管理通过设置一系列参数,确保动态令牌在身份验证过程中的安全性和有效性。这些策略参数不仅可以提高系统的防护能力,还可以为用户提供更为便捷和安全的使用体验,确保合理配置策略参数。
口令变伪周期 (秒):
配置值:60
说明:动态令牌的口令每60秒会自动更换一次,以确保每次验证时口令都是唯一的,提高安全性。
时间窗口大小:
配置值:120
说明:设定了验证动态口令时的时间窗口大小(以秒为单位),即系统会在120秒的时间范围内接受动态口令。这为用户输入口令提供了一定的时间缓冲。
自动解锁时间 (秒):
配置值:30
说明:当系统检测到异常或多次验证失败时,用户账户会被锁定一段时间。此参数设定了账户自动解锁的时间为30秒。
连续错误次数自动锁定:
配置值:15
说明:如果用户连续15次输入错误的动态口令,系统将自动锁定该用户账户以防止暴力破解。
动态口令长度:
配置值:6
说明:动态口令由6位数字组成。
二维码版本号:
配置值:0x11
说明:用于生成动态口令的二维码的版本号。此版本号确保二维码生成的标准和兼容性。
二维码有效天数:
配置值:3
说明:二维码生成后有效期为3天。
二维码有效算法:
配置值:SM3
说明:使用SM3算法生成二维码。可选项有SM3、SM4。
日志是否上传到ES:
配置值:是
说明:系统日志是否上传到Elasticsearch (ES) 进行集中存储和分析。
