OTP（身份验证器应用）

OTP（一次性密码）是基于时间的一次性密码算法（TOTP），用户需在手机安装身份验证器应用（如 Google Authenticator、Microsoft Authenticator、腾讯），扫描二维码或手动输入密钥后，应用会每隔30秒生成一个6位动态码。登录时输入该动态码完成二次验证。

路径：控制台 → 进入具体应用 → 顶部导航「配置」→ 「安全设置」→ 「多因素认证」

 

1. 应用配置

1.1 开启OTP

• 在“因素管理”区域，找到 “OTP” 卡片，将右侧开关 开启。

• 点击页面底部 “保存” 使配置生效。

• 开启后，该应用下的用户登录时（账号密码验证通过后）需要输入OTP动态码才能完成登录。

1.2 关闭OTP

• 将开关 关闭，点击“保存”。

• 系统会弹窗提示：如果当前已有用户绑定了OTP，关闭后将移除所有用户的绑定，且不可恢复。确认后关闭。

两种因素可独立开关，互不影响。如果同时开启邮箱验证和OTP，用户在二次验证页面可以自由选择使用哪一种。

 

2. 用户认证流程（应用用户）

2.1 首次使用OTP（绑定流程）

当用户首次登录且应用已开启OTP时，系统会引导用户完成绑定：

1. 输入账号密码验证通过后，进入OTP绑定页面。

2. 页面显示一个二维码（标准TOTP格式）。

3. 用户打开手机上的身份验证器应用（如 Google Authenticator），扫描二维码。

   • 如果无法扫描，可点击 “扫码遇到问题”，页面会显示一串文本密钥（大写字母和数字组合），用户可手动输入到身份验证器应用中。

4. 身份验证器应用添加账户后，会生成一个6位动态码（每30秒变化一次）。

5. 用户在绑定页面输入该动态码，点击 “确定”。

6. 注意：首次绑定时，系统要求输入邮箱验证码。

7. 验证通过后，OTP绑定成功，用户即可完成登录。

2.2 非首次使用（验证流程）

• 用户已完成OTP绑定，后续登录时：

  1. 输入账号密码后，直接进入OTP验证页面。

  2. 打开身份验证器应用，查看当前动态码。

  3. 输入动态码，点击 “确定”。

  4. 验证通过后登录成功。

2.3 同时开启OTP和其他因素验证

• 二次验证页面会提供 Tab标签页，用户可以自由切换使用OTP或其他因素验证。

• 在开启的方式中任选其一即可完成登录。

2.4 安全策略

• OTP验证码错误达到6次（可与其他验证方式错误次数累计），账号将被锁定1小时。

 

3. 用户详情页的管理

管理员可以查看用户是否绑定OTP，并支持手动重置用户的OTP绑定，或全局绕过该用户的MFA。

路径：用户管理 → 用户列表 → 点击用户邮箱进入详情 → 找到 “多因素认证” 模块

3.1 查看OTP绑定状态

• 若用户已绑定OTP，模块中会显示“OTP”行，右侧有 “重置” 按钮。

3.2 重置OTP绑定

• 点击 “重置”，弹出二次确认弹窗。

• 确认后，系统清除该用户的OTP绑定数据。

• 用户下次登录时需重新绑定OTP（若应用仍开启OTP因素）。

3.3 全局绕过开关（关闭/开启用户多因素认证）

• 与其他验证方式共享同一个开关。关闭后，用户将绕过所有MFA（包括OTP和邮箱验证等）。

• 开启后，用户恢复遵从应用MFA配置，下次登录需通过二次验证。如应用操作了因素“开启-关闭-开启”，用户则需要重新绑定OTP。

4. 日志与审计

启用OTP后，用户的行为日志会记录相关事件：

• 事件类型：二次认证-OTP

• 记录字段：用户、IP、国家、时间、结果（成功/失败）、失败原因。

您可以在 审计日志 → 用户行为日志 中查看这些记录。