在账户中启用 MFA
作为 IAM Identity Service 或所有 IAM 帐户管理服务上的管理员,您可以选择对帐户中的每个用户,仅对具有 IBM 标识但不使用单点登录 (SSO) 的用户或个人用户需要多因子认证 (MFA)。
从 3 2023 年 5 月开始,缺省情况下,对于将 MFA 设置为 None 的所有用户,将禁用仅具有用户名和密码的 CLI 登录。 这适用于新帐户和现有帐户中的用户。 管理员可以在 IBM Cloud 控制台中选择在该日期之前退出。 有关更多信息,请参阅 仅使用密码禁用 CLI 登录
查看帐户中每个用户的 MFA 需求,以通过生成 MFA 状态报告来确定他们是否满足需求。 有关更多信息,请参阅 标识用户的 MFA 状态。
准备工作
在为帐户启用 MFA 之前,请考虑以下信息,以确保您知道它如何影响帐户中的所有用户:
- 对帐户中的所有用户启用 MFA 会影响帐户的所有成员。 如果帐户中的用户是多个 IBM Cloud 帐户的成员,那么他们必须在下次登录时注册 MFA,即使他们不打算使用启用 MFA 的帐户中的资源也是如此。
- 启用 MFA 后,用户和服务标识的 API 密钥将继续有效。
- 对帐户的 MFA 会应用于用户的登录,但不会应用于 API 调用。 如果用户有权对帐户中的资源发出 API 调用,那么用户可以在不完成 MFA 的情况下执行此操作。 如果用户属于其他帐户,那么该用户可以使用不需要 MFA 的帐户中的 API 密钥,对您帐户中的资源发出 API 调用。
- 为您帐户中的用户规划一个沟通与支持策略:
- 选择一个对业务影响最小的日期和时间来启用 MFA。
- 在启用 MFA 后,通知账户中的用户有关如何设置的信息。
设置帐户缺省 MFA 时,将在登录时提示帐户中的所有 IBMid 用户进行 IBMid MFA 认证。 如果您为账户中的任何IBMid用户设置了其他 MFA 因子,则不再提示他们使用这些 MFA 因子。 例如,如果先前在客户门户网站中为经典基础架构资源启用了安全问题,那么 MFA 帐户设置将覆盖安全问题选项。
您还可以通过单击 显示帐户 > 管理自己的帐户,在“验证方法和认证因子”页面上启用和禁用帐户中的 MFA。
启用 MFA
启用 MFA 不会影响已登录的用户,因为 MFA 仅在登录时生效。 确保通知账户用户已启用 MFA,并在用户下一次登录时向其说明启用 MFA 的影响。
在更新 MFA 设置后首次登录到您的帐户时,需要使用两种不同的验证方法来验证您的身份。 验证方法包括电子邮件,文本或电话,您可以使用这些选项的任意组合来验证您的身份。 验证身份后,设置认证因子。 如果稍后需要更新验证方法或认证因子,请参阅 管理验证方法和 MFA 因子。
为账户启用 MFA
- 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM) > 设置。
- 单击 认证。
- 选择要在帐户中启用的 MFA 类型。 有关 MFA 选项的更多信息,请参阅 MFA 选项。
为单个用户启用 MFA
-
在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM) > 用户,并选择要更新其 MFA 的用户。
-
转至 MFA 部分,然后单击 编辑 图标
。
-
选择要为用户启用的 MFA 类型。
缺省情况下,将选择 使用帐户缺省值。 帐户缺省值是在帐户级别启用的 MFA 选项。 要查看帐户缺省值,请转至 管理> 访问权 (IAM)> 设置> 认证。
-
单击保存。
您可以通过转至 管理> 访问权 (IAM)> 设置> 认证来查看帐户中具有不同于帐户缺省值的 MFA 需求的用户列表。 然后,查看 特定于用户的 MFA 部分。
禁用 MFA
禁用 MFA 不会影响已登录的用户。 此操作会影响所有新登录。
对帐户禁用 MFA
- 转至 IBM Cloud 控制台中的 管理 > 访问 (IAM) > 设置 > 认证。
- 选择无。
为单个用户禁用 MFA
- 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM) > 用户,并选择要更新其 MFA 的用户。
- 转至 MFA 部分,然后单击 编辑 图标
。
- 选择无。
- 单击保存。
禁用仅使用密码的 CLI 登录
新
通过禁用仅具有用户或帐户密码的 CLI 登录,提高不需要完成多因子认证的用户的安全级别。 这样,您需要 API 密钥才能登录 CLI,或者用户可以使用 --sso
登录,而无需用户在每次登录时都完成 MFA。
要仅使用密码禁用 CLI 登录,请完成以下步骤:
- 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM)
- 要将此应用到单个用户,请单击 用户,然后选择要更新其 MFA 的用户。
- 转至 MFA 部分,然后单击 编辑 图标
。
- 转至 MFA 部分,然后单击 编辑 图标
- 要将其应用于帐户,请单击 设置 > 认证。
- 要将此应用到单个用户,请单击 用户,然后选择要更新其 MFA 的用户。
- 选择无。
- 选择禁用仅使用密码的 CLI 登录
- 针对单个用户单击 保存。
如果 IBMid 检测到用户正在登录到新设备或浏览器,那么仅提示用户输入一次附加因子。 一旦用户使用新设备上的其他因子登录,就不会再次提示他们输入该因子。 这可防止某些程序化攻击向量,并增强用户帐户的安全性,而不会在用户每次登录时提示用户。
重置认证因子
如果用于向 IBM Cloud 控制台认证的电子邮件地址或电话号码发生更改或变为不可访问,那么可以更新或重置认证方法。
- 转至“验证方法和认证因子”页面。
- 使用两种不同的验证方法验证您的身份。
- 单击 显示帐户。
- 记下每个帐户的认证设置。
- 如果帐户将 MFA 用于 IBMid 用户,请使用 IBMid 帮助中心 来重置认证因子。
- 如果帐户将 MFA 用于 所有用户,那么您可以在“验证方法和认证因子”页面上重置认证因子。
- 单击要重置的 MFA 方法旁边的复选框,然后单击“移除”。
- 下次登录到 IBM Cloud®时,请设置新的 MFA 因子。
有关更多信息,请参阅 为什么我无法使用 MFA 因子登录?。