Microsoft Azure - 多重身份验证

---

我们所有人都曾在某个时候遇到过多重身份验证。例如，一些银行的客户在网上登录银行账户时会收到电话或手机短信形式的一次性密码。多重身份验证是指由多个系统对用户访问应用程序进行身份验证的系统。多重身份验证为 Azure 客户端提供更好的安全性。它允许客户端选择是否要使用多个凭证系统来允许用户访问应用程序。多重身份验证可用于保护本地目录和云目录。

在此过程中，用户首先使用用户名和密码以正常方式登录。验证凭据后，如果激活了自动呼叫身份验证，则用户会收到呼叫并被要求确认登录尝试。

• 移动应用程序- 提供适用于所有平台（Android、iOS 和 Windows）的移动应用程序。当尝试登录时，此应用程序会推送通知，然后用户可以选择进行身份验证（如果是真实尝试）。

• 短信- 此方法将一次性密码发送到用户注册的手机。他们要么通过手机回复，要么在登录页面输入一次性密码。

• 自动呼叫- 自动呼叫要求用户通过按手机拨号盘上的按键来验证登录尝试。

创建多重身份验证提供程序

步骤 1 - 单击左下角的“新建”→ 应用程序服务 → Active Directory → 多因素身份验证提供程序 → 快速创建。

步骤 2 - 输入提供商的名称。

步骤 3 - 选择使用模型。我们在此示例中选择“每次身份验证”。请注意，创建多重身份验证提供程序后，您将无法更改使用模型。因此，在选择之前请考虑您的需求。

步骤 4 - 接下来，有一个选项，您是否希望链接现有目录。在这里，我们将先前创建的现有目录名称“tutorialspoint”链接到此多因素提供程序。

步骤 5 - 单击“创建”后，它将列在您的服务列表中。选择您刚刚创建的多因素提供商，您将看到以下屏幕。

步骤 6 - 选择屏幕底部的“管理”，您将进入新页面，如下图所示。

步骤 7 - 选择“配置”以选择身份验证。

步骤 8 - 您可以设置尝试次数、更改拨打电话的电话号码（默认号码已存在）、双向消息超时（默认为 60 秒）、一次性密码超时（默认为 300秒）在常规设置下。您还可以提供一个电子邮件地址，以便在一次性密码被绕过时收到通知。

步骤 9 - 向下滚动页面，您将看到欺诈设置。在欺诈设置下，您可以选择允许用户发送欺诈警报、在报告警报时阻止用户以及设置发送警报的电子邮件地址。

用户激活多重身份验证后，下次登录帐户时将被要求选择三种方法（自动消息、短信或移动应用程序）之一。所选方法将用于在他们每次登录帐户时对他们进行身份验证。

为现有目录启用多重身份验证

一种方法是在创建目录时将目录链接到多重身份验证提供程序，如我们在上一节中所见。但是，您也可以通过以下方式为特定用户执行此操作。

步骤 1 - 从左侧面板中选择您的目录，然后单击屏幕底部的“管理多重身份验证”。

步骤 2 - 它将带您进入以下屏幕。您可以在此处选择用户并启用或禁用该用户的多重身份验证。

为本地应用程序启用多重身份验证

当您使用管理门户创建新的多重身份验证提供程序并选择对其进行管理时，您将进入本章第一部分所示的页面。如果您想为本地应用程序启用多重身份验证，则必须通过单击突出显示的链接来安装身份验证服务器。然后您可以根据需要配置设置。

步骤 1 - 单击下图中圈出的链接。

步骤 2 - 您将进入以下屏幕，下载安装程序并生成激活凭据以登录服务器。