IBM Cloud Docs
在账户中启用 MFA

在账户中启用 MFA

作为 IAM Identity Service 或所有 IAM 帐户管理服务上的管理员,您可以选择对帐户中的每个用户,仅对具有 IBM 标识但不使用单点登录 (SSO) 的用户或个人用户需要多因子认证 (MFA)。

从 3 2023 年 5 月开始,缺省情况下,对于将 MFA 设置为 None 的所有用户,将禁用仅具有用户名和密码的 CLI 登录。 这适用于新帐户和现有帐户中的用户。 管理员可以在 IBM Cloud 控制台中选择在该日期之前退出。 有关更多信息,请参阅 仅使用密码禁用 CLI 登录

查看帐户中每个用户的 MFA 需求,以通过生成 MFA 状态报告来确定他们是否满足需求。 有关更多信息,请参阅 标识用户的 MFA 状态

准备工作

在为帐户启用 MFA 之前,请考虑以下信息,以确保您知道它如何影响帐户中的所有用户:

  • 对帐户中的所有用户启用 MFA 会影响帐户的所有成员。 如果帐户中的用户是多个 IBM Cloud 帐户的成员,那么他们必须在下次登录时注册 MFA,即使他们不打算使用启用 MFA 的帐户中的资源也是如此。
  • 启用 MFA 后,用户和服务标识的 API 密钥将继续有效。
  • 对帐户的 MFA 会应用于用户的登录,但不会应用于 API 调用。 如果用户有权对帐户中的资源发出 API 调用,那么用户可以在不完成 MFA 的情况下执行此操作。 如果用户属于其他帐户,那么该用户可以使用不需要 MFA 的帐户中的 API 密钥,对您帐户中的资源发出 API 调用。
  • 为您帐户中的用户规划一个沟通与支持策略:
    • 选择一个对业务影响最小的日期和时间来启用 MFA。
    • 在启用 MFA 后,通知账户中的用户有关如何设置的信息。

设置帐户缺省 MFA 时,将在登录时提示帐户中的所有 IBMid 用户进行 IBMid MFA 认证。 如果您为账户中的任何IBMid用户设置了其他 MFA 因子,则不再提示他们使用这些 MFA 因子。 例如,如果先前在客户门户网站中为经典基础架构资源启用了安全问题,那么 MFA 帐户设置将覆盖安全问题选项。

您还可以通过单击 显示帐户 > 管理自己的帐户,在“验证方法和认证因子”页面上启用和禁用帐户中的 MFA。

启用 MFA

启用 MFA 不会影响已登录的用户,因为 MFA 仅在登录时生效。 确保通知账户用户已启用 MFA,并在用户下一次登录时向其说明启用 MFA 的影响。

在更新 MFA 设置后首次登录到您的帐户时,需要使用两种不同的验证方法来验证您的身份。 验证方法包括电子邮件,文本或电话,您可以使用这些选项的任意组合来验证您的身份。 验证身份后,设置认证因子。 如果稍后需要更新验证方法或认证因子,请参阅 管理验证方法和 MFA 因子

为账户启用 MFA

  1. 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM) > 设置
  2. 单击 认证
  3. 选择要在帐户中启用的 MFA 类型。 有关 MFA 选项的更多信息,请参阅 MFA 选项

为单个用户启用 MFA

  1. 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM) > 用户,并选择要更新其 MFA 的用户。

  2. 转至 MFA 部分,然后单击 编辑 图标 "编辑" 图标

  3. 选择要为用户启用的 MFA 类型。

    缺省情况下,将选择 使用帐户缺省值。 帐户缺省值是在帐户级别启用的 MFA 选项。 要查看帐户缺省值,请转至 管理> 访问权 (IAM)> 设置> 认证

  4. 单击保存

您可以通过转至 管理> 访问权 (IAM)> 设置> 认证来查看帐户中具有不同于帐户缺省值的 MFA 需求的用户列表。 然后,查看 特定于用户的 MFA 部分。

禁用 MFA

禁用 MFA 不会影响已登录的用户。 此操作会影响所有新登录。

对帐户禁用 MFA

  1. 转至 IBM Cloud 控制台中的 管理 > 访问 (IAM) > 设置 > 认证
  2. 选择

为单个用户禁用 MFA

  1. 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM) > 用户,并选择要更新其 MFA 的用户。
  2. 转至 MFA 部分,然后单击 编辑 图标 "编辑" 图标
  3. 选择
  4. 单击保存

禁用仅使用密码的 CLI 登录

通过禁用仅具有用户或帐户密码的 CLI 登录,提高不需要完成多因子认证的用户的安全级别。 这样,您需要 API 密钥才能登录 CLI,或者用户可以使用 --sso 登录,而无需用户在每次登录时都完成 MFA。

要仅使用密码禁用 CLI 登录,请完成以下步骤:

  1. 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM)
    • 要将此应用到单个用户,请单击 用户,然后选择要更新其 MFA 的用户。
      1. 转至 MFA 部分,然后单击 编辑 图标 "编辑" 图标
    • 要将其应用于帐户,请单击 设置 > 认证
  2. 选择
  3. 选择禁用仅使用密码的 CLI 登录
  4. 针对单个用户单击 保存

如果 IBMid 检测到用户正在登录到新设备或浏览器,那么仅提示用户输入一次附加因子。 一旦用户使用新设备上的其他因子登录,就不会再次提示他们输入该因子。 这可防止某些程序化攻击向量,并增强用户帐户的安全性,而不会在用户每次登录时提示用户。

重置认证因子

如果用于向 IBM Cloud 控制台认证的电子邮件地址或电话号码发生更改或变为不可访问,那么可以更新或重置认证方法。

  1. 转至“验证方法和认证因子”页面。
  2. 使用两种不同的验证方法验证您的身份。
  3. 单击 显示帐户
  4. 记下每个帐户的认证设置。
    1. 如果帐户将 MFA 用于 IBMid 用户,请使用 IBMid 帮助中心 来重置认证因子。
    2. 如果帐户将 MFA 用于 所有用户,那么您可以在“验证方法和认证因子”页面上重置认证因子。
      1. 单击要重置的 MFA 方法旁边的复选框,然后单击“移除”。
      2. 下次登录到 IBM Cloud®时,请设置新的 MFA 因子。

有关更多信息,请参阅 为什么我无法使用 MFA 因子登录?