多要素验证（MFA）选项

当应用程序需要两种形式的认证来验证用户登录身份时，就会使用多要素验证。用户名和密码是第一认证形式。第二认证形式可从以下选项中选择。

Optimal Cloud提供以下类型的多要素验证：

邮件发送一次性密码（OTP） - 一封包含OTP的电子邮件将被发送至用户注册账户时提供的邮箱。然后用户需输入OTP以验证身份。
短信发送一次性密码（OTP） - 一条包含OTP的信息将被发送至用户注册账户时提供的手机号码。然后用户需输入OTP以验证身份。
语音发送一次性密码（OTP） - 一条包含OTP的语音将被发送至用户注册账户时提供的手机号码。然后用户需输入OTP以验证身份。
通过Optimal Authenticator推送 - 用户需在OptimalCloud注册一台设备，并安装Optimal Authenticator应用程序。用户尝试登录时，Optimal Authenticator应用程序会收到来自OptimalCloud的消息，并弹出一个对话框，请求批准登录。用户可以批准或拒绝该请求。
具时效性的一次性密码（TOTP） - 该选项将使OTP只在特定时间内有效。用户需在OptimalCloud注册一台设备，并安装一个远程认证应用程序。Optimal TOTP服务可与任何符合TOTP标准的认证应用程序配合使用，包括谷歌、微软以及可在应用商店免费下载的Optimal Authenticator。用户尝试登录时，远程认证应用程序会收到来自OptimalCloud的消息，并弹出一个对话框，显示TOTP和剩余时间。用户需在时间截止前在登录界面输入TOTP。时间截止后用户将会收到一个新的TOTP。
行为特征身份识别 - 使用用户的字符输入特征数据，也称按键动态来验证用户身份。新用户需多次输入用户名，以记录字符输入特征，该数据将被存储为其基准输入特征。用户尝试登录时将被提示再次输入用户名，并与基准数据进行比对。

!!!note "短信一次性密码、语音一次性密码和行为特征身份识别形式的多要素验证只有在您的组织启用后才可用。”

启用多要素验证

如果您在注册OptimalCloud账户时已经输入了所需信息，则以下多要素验证不需要额外启用：

邮件发送一次性密码（OTP） - 如果您在注册账户时输入了邮箱，就不需要额外启用这个选项。如果您没有输入邮箱，请于账户设置下的“我的资料”选项中输入这一信息。
短信发送一次性密码（OTP） - 如果您在注册账户时输入了手机号码，就不需要额外启用这个选项。如果您没有输入手机号码，请于账户设置下的“我的资料”选项中输入这一信息。这一选项只有在您的组织已经启用的情况下才可用。
语音发送一次性密码（OTP） - 如果您在注册账户时输入了手机号码，就不需要额外启用这个选项。如果您没有输入手机号码，请于账户设置下的“我的资料”选项中输入这一信息。这一选项只有在您的组织已经启用的情况下才可用。

为MFA选项注册一个设备/令牌

本节将说明如何注册设备并且选择与该设备相关的MFA选项。

浏览账户设置选项。

Account Setting Tab

点击多要素令牌/设备应用就会显示多要素登录页面。

MFA Page - Email

选择任意MFA途径，并按照MFA认证部分中对该方法的说明进行认证。使用MFA选项进行认证后，您将看到多要素设备/令牌管理页面。

Manage TokenDevice Page

点击 Add Token Device Button 按钮，添加多要素认证设备页面就会出现。

MFA Add Device Page

以下MFA选项可供您的设备选择：

推送消息和具时效性的一次性密码（TOTP） - 该选项允许用户在指定设备上启用推送消息和具时效性的一次性密码。

!!!note "该应用需安装Optimal Authenticator应用程序，可在应用商店免费下载。Optimal Authenticator适用于所有安卓、Windows和IOS操作系统。”

具时效性的一次性密码 - 该选项允许用户在指定设备上只使用具时效性的一次性密码进行认证。这个选项需要安装一个TOTP代理，可以是Optimal、谷歌、微软或任何符合标准的TOTP认证软件。

选择一个MFA选项并点击 MFA Next 按钮。

以下说明仅适用于已选择Optimal Authenticator的推送消息和具时效性的一次性密码（TOTP）选项时。

接着您将被要求输入设备类型和设备名称。

MFA Add Device Page 2

选择您想注册的设备类型。

在“设备名称”栏中输入设备的名称。此栏为必填项。

点击 MFA Next 按钮继续。您将会看到一个二维码，可以使用设备扫描。

MFA Add Device Page 3

在您的设备上打开Optimal Authenticator应用程序。点击“+”按钮，然后点击“扫描二维码”按钮。将您的设备摄像头对准二维码。

如果扫描不成功，请点击“手动输入”按钮，输入多要素验证中，添加设备页面上显示的机密字段，如上图所示。

扫描二维码或手动输入机密字段后，您将在设备上收到一条信息，说明设备已成功注册。

点击 Return to Device Mangement button 按钮，返回到多要素设备/令牌管理页面。

Manage Token Device Page 2

注册成功的设备将显示在多要素设备/令牌管理页面的设备管理列表中。列表中会显示设备名称、启用的MFA选项，以及设备的注册日期。

点击 Test MFA button 按钮，验证设备是否已经正确设置。要进行测试，请选择“使用MFA选项进行认证”选项，查看启用的MFA认证选项。

删除设备/令牌

点击 MFA Delete Device “行动”按钮将出现“删除设备”提示信息。要删除的设备名称将显示在“设备名称”区域。

Device Delete page

在方框中输入“是”，然后点击 Device Delete yes button 按钮。

Device Delete YES box

当设备被成功删除时，将出现以下信息。

Delete Device Success Msg

被删除的设备将不再出现在多要素设备/令牌管理页面。

启用行为特征身份识别MFA选项

本节将说明如何启用行为特征身份识别MFA选项。

浏览账户设置选项。

Account Setting Tab

点击行为特征身份识别应用就会显示多要素登录页面。

MFA Page - Email

选择任意MFA途径，并按照MFA认证部分中对该方法的说明进行认证。您使用MFA选项认证后，就会显示行为特征身份识别管理页面。

Behavioral Biometrics page

行为特征身份识别MFA选项使用用户字符输入特征数据，也称按键动态来验证用户身份。要启用该选项，请在提供的区域内输入您的用户名，就像您登录账户时一样。识别系统将使用这些数据计算建立一个基准行为。

页面显示黄色信息说明您的输入次数仍然不够。

Behavioral Biometrics No Enrollments msg

在提供的行为输入区域中输入您的用户名。您的用户名会显示在用户名栏中。

!!!note "您输入的用户名必须与页面上显示的用户名一致。”

如果您输入的用户名不匹配，将显示以下信息 Username does not Match msg

清除不匹配的字符，并继续在该区域中输入您的用户名，直到行为记录成功。您不需要清除或重新输入已经记录成功的行为输入区域。

持续输入，直到所有行为输入区域中的数据都录入成功，如下图所示。

#已记录行为区域将显示您已保存的输入行为数量。

Behavioral Biometrics Patterns Saved

所有的行为都记录成功，并且#已记录行为显示5时，您会看到这条信息。

Enough Enrollments msg

行为输入区域仅用于记录输入模式。一旦你离开这个页面，输入模式将不会继续显示。#已记录行为区域将继续显示您已保存的输入行为数量。

停止使用行为特征身份识别

要停用您的行为特征身份识别，请转到行为特征身份识别管理页面。

页面上将不再显示您的输入模式。#已记录行为区域将显示您已保存的输入行为数量。

Behavioral Biometrics Return page

点击 Behavioral Biometrics Delete Enrollments button 按钮，将出现以下黄色标注的信息。

Behavioral Biometrics Delete Patterns msg

您需要在方框中输入“是”，然后点击 Yes Delete Patterns Button 按钮。

接着，“#已记录行为”区域中的输入模式数量将显示为零，您被引导返回行为特征身份识别管理页面，再次记录输入模式。

使用MFA选项进行认证

短信/文字OTP认证

用户点击需要MFA的应用程序时，就会出现多要素登录页面。

MFA Page - SMS

选择“短信/文字”选项在注册账户时输入的手机号码将被部分显示。

点击 Send Passcode button 按钮并发送包含一次性密码（OTP）的短信/文本信息至指定手机号码。页面上会提示“密码已发送”。

如果您没有收到带有OTP的电子邮件，请点击 Didn't receive OPT 按钮，再次发送短信/文本信息。

您收到短信/文本信息后，请在一次性密码框中输入OTP。

点击 Verify button 按钮以验证OTP。

然后您将成功登录应用程序。

语音OTP认证

用户点击需要MFA的应用程序时，就会出现多要素登录页面。

MFA Page - Voice

选择“语音通话”选项。在注册账户时输入的手机号码将被部分显示。

如果您在注册账户时同时输入了手机和固定电话号码，您将可以使用下拉选项选择使用哪个号码，如下图所示。选择电话号码。

Mulit Phone

点击 Send Passcode button 按钮并发送包含一次性密码（OTP）的语音通话至指定手机号码。页面上会提示“密码已发送”。

如果您没有收到带有OTP的语音通话，请点击 Didn't receive OPT 按钮重置页面。

点击 Send Passcode button 按钮，再次发送语音通话信息。

您收到短信/文本信息后，请在一次性密码框中输入OTP。

点击 Verify button 按钮以验证OTP。

然后您将成功登录应用程序。

邮件OTP认证

用户点击需要MFA的应用程序时，就会出现多要素登录页面。

MFA Page - Email

选择“邮件”选项。在注册账户时输入的邮箱将被部分显示。

点击 Send Passcode button 按钮并发送包含一次性密码（OTP）的邮件至指定邮箱。页面上会提示“密码已发送”。

如果您没有收到带有OTP的电子邮件，请点击 Didn't receive OPT 按钮，再次发送电子邮件。

您收到邮件后，请在一次性密码框中输入OTP。

!!!warning "(请注意这个一次性密码只生效一(1)次，且有效时间为60分钟）”

点击 Verify button 按钮以验证OTP。

然后您将成功登录应用程序。

推送信息认证

如果您注册了可推送信息的设备，并点击一个需要MFA的应用程序，包含推送信息应用的多要素登录页面就会出现。

PUSH and TOTP page

已注册的设备名称将出现在“推送到移动设备”选项旁边。如果注册了一个以上的设备，下拉框将显示所有在认证中可用的设备。

在您注册的设备上打开Optimal Authenticator应用程序。

选择“在移动设备推送信息”选项，然后点击 Verify button 按钮。

页面上将会显示如下信息。 PUSH message sent

Optimal Authenticator应用程序将在注册设备上显示如下图示的信息：

PUSH approve deny

如果您在预定时间结束前未点击 PUSH Approve button 按钮，推送认证将失效，多要素登录界面上将出现一条错误信息。

点击 Verify button 按钮再次推送认证信息。

点击 PUSH Approve button 按钮完成认证。

然后您将成功登录相应应用程序。

具时效性的一次性密码（TOTP）认证

如果您注册了使用TOTP MFA的设备，并点击一个需要MFA的应用程序，包含TOTP应用的多要素登录页面就会出现。其指令需使用Optimal Authenticator应用程序完成。

TOTP MFA Page

已注册的设备名称将出现在“TOTP移动/Windows程序”选项旁边。如果注册了一个以上的设备，下拉框将显示所有在认证中可用的设备。

选择“推送到移动设备”选项。

在选择的设备上打开Optimal Authenticator应用程序。Optimal Authenticator上将显示一个具时效性的一次性密码，以及密码的有效时间。

TOTP on device

在多要素登录页面的方框中输入一次性密码，然后点击 Verify button 。

如果在输入之前一次性密码已经失效，页面将显示一条错误信息。

返回设备上的Optimal Authenticator，重新获取一次性密码。

输入一次性密码，然后在密码失效前点击 Verify button 按钮。

TOTP passcode page

然后您将成功登录相应应用程序。

行为特征身份识别认证

如果您启用了行为特征身份识别应用，并点击一个需要MFA的应用程序，包含行为特征身份识别应用的多要素登录页面就会出现。

Behavioral Biometrics Login page

选择行为特征身份识别选项，用以输入您的用户名的方框将会出现。

Behavioral Biometrics username Login

在出现的输入框中键入您的用户名，然后点击 Verify button 按钮。

如果输入模式不匹配导致认证失败，页面上将显示如下信息。

Behavioral Biometrics Login Fail

请清除用户名方框中的内容并再次键入您的用户名。

点击 Verify button 按钮。

输入模式匹配成功后，您将成功登录相应应用程序。