TOTP认证

功能入口

左侧导航菜单用户管理--＞安全设置

功能说明

zCloud登录时除了用户密码认证外，还支持TOTP认证，加强用户登录认证，提升账号安全性。

操作指南

TOTP 含义

1、TOTP (Time-based One-Time Password Algorithm) 算法。TOTP 算法的本质是将时间戳和预共享密钥作为输入，生成一次性密码，并和服务器端进行比对，验证用户的身份。由于TOTP 算法具有强的安全性和不可预测性，因此 能够有效地保护用户的账号安全。

TOTP身份验证器一般每 30 秒或 60 秒产生一个新口令，即这个验证码每 30 秒或 60 秒刷新一次，过时即失效要求客户端和服务器能够十分精确的保持正确的时钟，客户端和服务端基于时间计算的动态口令才能一致。

2、即使没有连接到互联网，也可以工作：

要使用TOTP技术，不需要智能手机上的有效互联网连接或物理密钥。

TOTP令牌只需要获取一次共享密钥值。因此，安全系统和TOTP生成器可以产生连续的密码值，而无需通信。因此，即使计算机关闭，基于时间的一次性密码（TOTP）也会运行。

开启/关闭TOTP

1、平台管理员spadmin登录zCloud ；

2、进入用户管理 --> 安全设置；

3、点击开关可开启/关闭TOTP认证。

开启后，全局设置用户（ 除白名单外）通过TOTP进行二次校验登录zCloud；

关闭后，全局设置用户不需要TOTP认证登录zCloud；

开启或关闭TOTP认证，不重启服务器，重新开启后用户可以用之前已绑定的TOTP进行二次校验，不需要重新绑定。

设置TOTP白名单

如希望部分用户不开启TOTP双因子认证，可设置白名单；

1、平台管理员spadmin登录zCloud ；

2、设置TOTP白名单（开启TOTP认证后平台管理员默认在白名单中）；

3、点击【创建白名单】将不需要开启TOTP的用户移入白名单；

4、点击删除将白名单里面的用户移出白名单。

5、如果将平台管理员移出白名单，后期手机或身份验证器丢失无法使用，验证TOTP进入zCould则只能联系云和恩墨工程师进行设置。

绑定TOTP

未绑定TOTP的账号初次进入zCloud需要进行TOTP双因子认证。

1、用户登录zCloud；

2、系统提示用户在手机端下载并安装身份验证器：阿里云APP；

3、扫描二维码绑定；

鼠标移动到icon时提示：在阿里云APP当前页面扫码添加

点击帮助icon,出现弹窗“帮助文档”。

4、用户使用安装的身份验证器：阿里云APP右上角的MFA扫描二维码；

5、身份验证器保存账号、密钥，并生成6位动态验证码，每30秒更新；

6、用户在zCloud中输入身份验证器生成的6位动态验证码；

7、zCloud校验用户输入的动态验证码与服务器生成的验证码是否一致；如校验不一致，请确保手机系统时间与zCloud系统时间一致；

8、如果二维码无法扫描：显示文本密钥，用户可输入邮箱，发送文本密钥至邮箱，可手动添加账号和密钥。

9、绑定成功后点击【进入zCloud】。

使用TOTP认证进入zCloud

用户账号已绑定TOTP且未加入白名单，且已开启TOTP。

1、用户登录zCloud；

2、用户打开阿里云APP查看生成的6位动态验证码，每30秒更新；

3、用户在zCloud输入6位动态验证码；

4、zCloud校验用户输入的动态验证码与服务器生成的验证码是否一致；如校验不一致，请确保手机系统时间与zCloud系统时间一致；

点击帮助icon，可查看帮助文档。

5、若手机无法使用、TOTP身份验证器无法使用，请联系管理员进行解绑。

解绑TOTP

用户的zCloud账号已绑定TOTP后，支持解绑。

1、联系租户管理员或平台管理员解绑当前账号绑定的TOTP；

2、租户管理员或平台管理员进入用户管理解绑对应账号绑定的TOTP，且显示对应用户的TOTP绑定状态；

点击更多 --> 解绑TOTP。

3、解绑成功，TOTP绑定状态显示为未绑定。