管理员认证

本文描述了可以为管理员定义的不同认证方法,以登录到Cato管理应用程序。 要了解有关管理员的更多信息,请参阅 什么是管理员和基于角色的访问控制(RBAC)

概述

为了更好地满足贵组织的要求,您可以使用以下方法为 CMA 定义认证方法:

  • SSO (推荐) - 使用为账户配置的单点登录 (SSO) 提供商进行认证,在 访问 > 单点登录
  • Cato 凭证 - 使用您在 CMA 中配置的用户名(管理员电子邮件)和密码登录。
  • MFA - 在使用 Cato 凭据时,管理员使用多因素认证 (MFA) 和认证应用。 该选项默认情况下为新管理员启用,并且对于2023年12月10日之后创建的账户中的管理员始终启用。

配置CMA认证方法

您可以定义 Cato 管理应用程序管理员可用于登录的方法。 这些设置适用于账户中的所有管理员。

以下工具支持与Cato管理应用程序管理员的SSO:

确保你的工具已将所需的IP加入允许列表。 有关详细信息,请参阅CMA IP允许列表。 每个CMA管理员的电子邮件必须与其在SSO提供商中的相应用户的电子邮件地址相同。

要配置 CMA 管理员的认证方法:

  1. 要允许管理员使用单点登录进行认证:
    1. 遵循您单点登录提供商的程序(在上面链接中)。
    2. 从导航菜单中,单击 访问 > 单点登录
    3. Cato 管理应用程序管理员 部分中,选择 允许使用单点登录登录
    4. 单击 保存
  2. 要允许管理员使用用户名和密码进行认证:
    1. 从导航菜单中,选择 账户 > 登录限制
    2. Cato 管理应用的登录认证方法 部分中,选择 允许使用 Cato 用户凭证登录
    3. 单击 保存

使用多因素认证 (MFA) 为管理员进行认证

为了提供额外的安全性,您可以配置管理员在登录 CMA 时使用多因素认证 (MFA)。 MFA 使用认证应用(如 Google Authenticator)生成安全的一次性密码 (OTP),管理员在登录过程中输入此密码。 否则,管理员无法认证并登录 CMA。

注意

注意:

  • 多因素认证(MFA)仅支持 Cato 用户凭证。 当管理员使用单点登录登录时,不能要求他们输入 MFA 代码。
  • 对于 2023年12月10日之后创建的账户,使用 Cato 用户凭证认证的管理员始终启用 MFA。

禁用管理员的多因素认证

对于支持禁用 MFA 的账户,创建管理员后,MFA 会为该管理员默认启用。 如果启用了 MFA,管理员首次登录 CMA 时,会被重定向到一个带有二维码的网页。 管理员使用认证应用扫描二维码,并将 CMA MFA 添加到认证应用中。

Admin_General.png

要为管理员启用 MFA:

  1. 从导航菜单中,单击 账户 > 管理员
  2. 选择管理员。
  3. 登录详情 部分中,选择 启用MFA
  4. 单击 保存

重置多因素认证

您可以重置管理员的 MFA 权限。 重置 MFA 权限后,管理员将无法再使用当前认证应用登录 CMA。 管理员下一次登录 CMA 时,会被重定向到带有二维码的网页。 管理员使用认证应用扫描二维码,CMA 的 MFA 被添加到认证应用中。

要重置管理员的 MFA 权限:

  1. 从导航菜单中,单击 账户 > 管理员
  2. 选择一个或多个管理员。
  3. 操作 下拉菜单中,选择 重置 MFA
  4. 在确认窗口中,单击 确定。 一封电子邮件通知会发送给管理员。

管理管理员密码

默认情况下,管理员需要每90天更改其CMA密码,并在密码到期日期前14天和3天收到电子邮件通知。 如果您为管理员启用了密码永不过期选项,则该管理员无需更改密码。

管理员密码必须包含一个小写字母、一个大写字母、一个数字、一个特殊字符,长度为8-32个字符。 此外,管理员密码不能包含电子邮件地址或在我们的常用密码列表中(例如,“Password1!”)。

设置管理员密码过期时间

登录限制屏幕中使用密码过期设置来定义 CMA 密码的有效期,管理员需要更改密码。 密码有效期为 14 至 730 天。

当管理员启用密码永不过期选项时,此设置不适用。

要设置管理员的密码到期时间:

  1. 从导航菜单中,选择 账户 > 登录限制
  2. 密码到期 部分中,输入密码有效的天数。
  3. 单击 保存

重置管理员密码

如果管理员被锁定在账户之外,请使用重置密码选项让他们重新登录。

要重置管理员密码:

  1. 从导航菜单中,单击 账户 > 管理员
  2. 选择一个或多个管理员。
  3. 单击 操作 然后在下拉菜单中选择 重置密码

  4. 在确认窗口中,点击确定

    管理员将收到带有更改密码链接的电子邮件。

  5. 在电子邮件中,管理员可以点击此处链接以转到更改密码窗口。

    如果管理员收到此电子邮件,但没有发起请求,请点击这不是我链接。

设置管理员登录限制

您可以要求所有管理员仅从特定 IP 地址登录。

对于使用出口 IP 地址(NATed IPs)的账户,您可以允许管理员从这些 IP 地址登录。 如果您勾选同时允许从NATed IP登录,您必须在允许登录IP区域中指定这些IP。 否则,管理员将可以从任何IP访问CMA。

loginrestrictions.png

要配置管理员登录限制:

  1. 从导航菜单中,选择 账户 > 登录限制
  2. 仅允许管理员从特定 IP 地址登录到 CMA:
    1. Cato 管理应用的登录限制 部分中,在 允许的登录IP 中,输入要允许的 IP 地址。

    2. 点击添加图标。

      IP 地址已添加到允许的登录 IP 列表中。

    3. 要移除允许的 IP 地址,选择该 IP 地址然后点击删除图标。
  3. (可选) 要允许管理员从转换后的 IP 登录,选择 也允许从经过 NAT 转换的 IP 地址登录
  4. 单击 保存

了解使用CAPTCHA进行安全登录

为提高账户安全性,CMA 的管理员认证流程包括验证码保护。 验证码保护对管理员是不可见的,并在后台运行,以防止机器人的未经授权访问。 这确保了更安全的体验,不会破坏常规的登录流程。 在极少数情况下,管理员可能会被提示重新输入凭证以证明他们是人类并完成登录。 验证码保护与 SSO 认证的管理员无关。

这篇文章有帮助吗?

3 人中有 2 人觉得有帮助

0 条评论