用户登录自服务门户
# 用户登录自服务门户
# 密码登录
在 SSO360中,默认登录方式为密码登录。
密码登录共分为以下三种形式:
- 邮箱 + 密码登录
- 用户名 + 密码登录
- 手机号 + 密码登录
若登录页有登录相关协议,登录前您必须勾选该协议才可以登录。
# 手机号登录
登录方法:
- 输入手机号后,点击“获取验证码”按钮,输入正确验证码后;
- 点击“登录”按钮,则登录成功。
短信验证码获取规则:
- 同一手机号,1分钟内只能获取一次验证码
- 验证码有效期5分钟
- 若输入错误验证码,本次获取正确验证码也自动失效,无法使用
- 登录时获取的验证码只能用在登录操作中
# OTP口令登录
概述
OTP:One Time Password,又称一次性口令、一次性密码、动态密码、单次有效密码。
原理:OTP基于专门的算法每隔一定的时间间隔生成一个不可预测的随机数字组合。
获取一次性密码的方法一般有以下几种:
- 手机短信:这种方式非常普及,可用于信息系统登录,交易时二次验证,信息系统密码遗失时的找回验证等,因为手机的普及,这种方式非常普及,但对于中间人攻击抵抗性低。
- 手机令牌:手机上的APP,小程序等应用程序生成动态密码,用户在信息系统中输入后在服务端完成验证。也可以直接通过与服务端的交互更便捷完成验证过程。这种方式如果移动设备有系统漏洞,存在密钥泄露风险。更换手机时,也需要完成令牌的转移或在新手机上重新生成令牌。
- 硬件令牌:在网银业务中比较普遍,比如银行的U盾,在设定的大额交易场景下,需要使用硬件令牌生成动态口令完成身份确认。由于单独的硬件需要电池,存在寿命问题,令牌遗失一般也需要去营业网点注销后再重新申领。
使用方法
- 绑定OTP:
登录进入自服务门户首页
在账号与安全>身份验证>OTP口令认证 页点击开启
使用派拉企业安全微信小程序 或 Google authenticator 或 Microsoft authenticator 中的扫一扫功能,扫描绑定二维码,即开启成功
- OTP口令登录/认证:
登录、身份验证时,使用OTP口令登录/认证方式,输入 派拉企业安全微信小程序 或 Google authenticator 或 Microsoft authenticator 生成 6 位动态口令即可完成登录或身份验证。
# 无密码登录
概述
无密码登录即FIDO(Fast IDentity Online),FIDO身份验证是一套快速、简单、强大的身份验证标准。
这些标准由 FIDO 联盟制定,该联盟是一个行业协会,其代表来自一系列组织,包括谷歌、微软、Mozilla 和 Yubico。这些标准支持网络钓鱼、无密码和多因素身份验证。他们通过使强身份验证更易于实施和使用来改善在线用户体验。
一些网络上最流行的工具和应用程序已经在使用 FIDO 身份验证,包括 Google 帐户、Dropbox、GitHub、Twitter 和 Yahoo Japan。
原理
FIDO主要是通过两个标准协议来实现安全登录(验证):
- 无密码的UAF:
- 用户携带含有UAF的客户设备(通常手机或pc就已内置有采集设备)
- 用户出示一个本地的生物识别特征(指纹、人脸、声纹)
- 网站可以选择是否保存密码;
用户选择一个本地的认证方案(例如按一下指纹、看一下摄像头、对麦克说话,输入一个PIN等)即可将用户的设备注册到在线服务上去。只需要一次注册,之后用户再需要去认证时,就可以简单的重复一个认证动作即可。
- 第二因子的U2F
- 用户携带U2F设备,浏览器支持这个设备
- 用户出示U2F设备,浏览器读取设备证书
- 网站可以使用简单的密码(比如4个数字的PIN)
U2F是在现有的用户名+密码认证的基础之上,增加一个更安全的认证因子用于登录认证。
用户可以像以前一样通过用户名和密码登录服务,服务会提示用户出示一个第二因子设备来进行认证。U2F可以使用简单的密码(比如4个数字的PIN)而不牺牲安全性。U2F出示第二因子的形式一般是按一下USB设备上的按键或者放入NFC。
U2F适用于典型的2B业务场景,基本PC用户的使用场景,企业可以为内部人员配备专业的FIDO设备硬件用于应用系统的登录认证。
使用方法
- 开启无密码认证:
在账号与安全>身份验证>无密码认证>管理设备 页:选择当前设备所属操作系统栏,点击开启
系统会提示您输入PIN、按下指纹、或进行人脸识别(不同设备的认证方式可能不同),根据系统提示完成操作后,若认证通过,则“无密码认证”开启成功
- 无密码登录/认证:
登录、身份验证时,使无密码登录/认证方式,输入用户名/手机号/邮箱后,系统会提示您输入PIN、按下指纹、或进行人脸识别,根据系统提示完成操作即可完成登录/身份验证。
# 第三方登录
概述
第三方登录,是指用户使用社交平台的身份认证信息在第三方应用或网址进行认证登录的流程,比如大家经常使用个人微信、QQ、微博等社交账号登录滴滴、网易云音乐等。第三方登录不仅有助于简化用户在第三方平台的登录体验,同时也为用户在第三方平台创建新账号提供了一种更为简单便捷的方式。
目前SSO360支持四种第三方登录方式:
- 微信
- 企业微信
- 钉钉
- 飞书
第三方登录—绑定账号
- 使用第三方认证源登录时,若当前第三方认证源账号未在SSO360中注册过,会弹窗提示您“注册账号”或“绑定已有账号”。
- 绑定已有账号:
- 方法一:账号密码绑定
- 方法二:手机号验证码绑定
- 绑定成功后,使用之前的第三方登录方式即可登录成功
# 忘记密码
- 在密码登录页,点击“忘记密码”按钮,弹出修改密码弹窗;
- 输入手机号/邮箱后,点击“获取验证码”按钮,输入正确的验证码;
- 设置新密码并点击“保存”按钮,则新密码设置成功
设置成功后,回到登录页,可使用新密码进行登录。
# 身份验证
概述
身份验证是SSO360提供的一种非常简单的安全实践方法,它使用在登录、访问应用、访问身份验证页、访问管理后台等场景。以登录为例,身份验证能够在用户名称和密码之外再额外增加一层保护。启用身份验证后,用户进行登录时,需进行身份验证,验证通过后才能进行下一步操作。
认证说明
SSO360目前支持3种身份验证方式:
