IBM Cloud 多因子鑑別
多因素驗證 (MFA) 要求所有使用者使用 ID 和密碼以外的其他驗證因素進行驗證,為您的帳戶增加了一層安全性。 MFA 通常也稱為雙重認證 ( 2FA )。
IBM Cloud 與每一個使用者的 ID 相關聯,並在他們所屬的所有帳戶中鑑別它們,因此它們只鑑別一次。
IBM Cloud MFA 適用於任何帳戶類型的所有資源。 啟用 MFA 時,會提示使用者提供由鑑別器應用程式或硬體記號產生的唯一 ID (例如使用者名稱或電子郵件) 及一次性密碼 (OTP)。 輸入正確的 OTP 之後,會授與所要求資源的存取權。 這種類型的 MFA 比帳戶型 MFA 更安全,因為它不限於標準基礎架構資源,而且適用於帳戶內的所有資源。 它也會減少因低保護性密碼或跨多個帳戶使用相同密碼而導致外洩的風險。
MFA 選項
作為 IAM Identity Service 或「所有 IAM 帳戶管理」服務的管理者,您可以對帳戶或特定使用者啟用 MFA,它會套用至所有帳戶資源。
- 您可以更新帳戶的 MFA 設定,方法是移至 IBM Cloud® 主控台中的 管理 > 存取權 (IAM) > 設定 > 鑑別。 如需相關資訊,請參閱 啟用帳戶的 MFA。
- 您可以更新帳戶中特定使用者的 MFA 設定,方法是移至 管理 > 存取權 (IAM) > 使用者,然後按一下您要更新其 MFA 的使用者。 如果您是新使用者,請使用以 ID 為基礎的 MFA 選項,以確保您的登入安全。 如需相關資訊,請參閱 為個別使用者啟用 MFA。
針對擁有 IBMid 的使用者進行 MFA
使用者使用 IBMid、密碼和基於時間的一次性密碼 (TOTP) 進行驗證。 您可以對所有使用者或僅對非聯邦使用者啟用此選項。
適用於所有使用者的 MFA ( IBMid 和支援的 IdPs )
使用者使用下列其中一個 MFA 因素進行鑑別。 此選項適用於所有使用者,包括使用 IBMid 或外部身分提供者 (IdP) 的使用者,例如 App ID。
- 電子郵件型 MFA: 使用者使用透過電子郵件傳送的安全通行碼進行鑑別。
- TOTP MFA: 使用者使用 TOTP 進行鑑別。
- U2F MFA: 使用者使用實體硬體型安全金鑰進行鑑別。 根據 FIDO U2F 標準,此因素提供最高安全等級。
無
所有使用者僅使用標準 ID 和密碼登入,這提供最低安全層次。 若要提高此選項的安全層次,您可以停用僅使用使用者名稱及密碼登入 CLI。 這樣,您需要 API 金鑰才能登入 CLI,或者使用者可以使用 --sso
登入。
從 2023 年 5 月 3 日開始,依預設會針對 MFA 設為 無的所有使用者停用僅使用使用者名稱及密碼的 CLI 登入。 這適用於新帳戶和現有帳戶中的使用者。 管理者可以在 IBM Cloud 主控台中拒絕該日期之前。 如需詳細資訊,請參閱 停用只有密碼的 CLI 登入。