IBM Cloud 多因子认证
多重身份验证(MFA)要求所有用户通过ID和密码之外的另一个身份验证因素进行身份验证,从而为您的账户增加了一层安全保护。 MFA也常被称为双因素认证( 2FA )。
IBM Cloud 与每个用户的标识相关联,并在他们是其成员的所有帐户中对其进行认证,因此他们仅认证一次。
IBM Cloud MFA 适用于任何类型的帐户中的所有资源。 启用 MFA 时,将提示用户提供由认证程序应用程序或硬件令牌生成的唯一标识 (例如用户名或电子邮件) 和一次性密码 (OTP)。 输入正确的 OTP 后,将授予对所请求资源的访问权。 这种类型的 MFA 比基于帐户的 MFA 要安全得多,因为它不仅限于经典基础架构资源,而且适用于帐户内的所有资源。 它还降低了由于密码较弱或在多个帐户中使用相同密码而导致违规的风险。
MFA 选项
作为 IAM Identity Service 或所有 IAM 帐户管理服务的管理员,您可以为帐户或特定用户启用 MFA,并将其应用于所有帐户资源。
- 您可以通过转至 IBM Cloud® 控制台中的 Manage > Access (IAM) > Settings > Authentication 来更新帐户的 MFA 设置。 有关更多信息,请参阅 为帐户启用 MFA。
- 您可以通过转至 管理 > 访问权 (IAM) > 用户 并单击要更新其 MFA 的用户来更新帐户中特定用户的 MFA 设置。 如果您是新用户,请使用基于身份验证的MFA选项,以确保您的登录安全。 有关更多信息,请参阅 为单个用户启用 MFA。
对具有 IBMid 的用户使用 MFA
用户通过 IBMid、密码和基于时间的单次密码(TOTP)进行身份验证。 您可以为所有用户或仅非联合身份用户启用此选项。
所有用户都可以使用MFA( IBMid 和受支持的 IdPs )
用户使用下列其中一个 MFA 因子进行认证。 此选项适用于所有用户,包括使用 IBMid 或外部身份提供者 (IdP) (例如 App ID) 的用户。
- 基于电子邮件的 MFA: 用户使用通过电子邮件发送的安全验证码进行认证。
- TOTP MFA: 用户使用 TOTP 进行认证。
- U2F MFA: 用户使用基于物理硬件的安全密钥进行认证。 根据 FIDO U2F 标准,此因子提供最高级别的安全性。
无
所有用户仅使用标准标识和密码登录,这将提供最低级别的安全性。 要提高此选项的安全性级别,您可以禁用仅使用用户名和密码登录 CLI。 这样,您需要 API 密钥才能登录 CLI,或者用户可以使用 --sso
登录。
从 3 2023 年 5 月开始,缺省情况下,对于将 MFA 设置为 None 的所有用户,将禁用仅具有用户名和密码的 CLI 登录。 这适用于新帐户和现有帐户中的用户。 管理员可以在 IBM Cloud 控制台中选择在该日期之前退出。 更多信息,请参阅 仅使用密码禁用CLI登录。