使用双因素身份验证

Red Hat Customer Portal 1

使用双因素身份验证访问您的红帽用户帐户

Red Hat Customer Content Services

法律通告

摘要

本指南介绍了如何设置和删除双因素身份验证，以使用验证器应用程序或恢复代码访问红帽用户帐户。

有关 Red Hat SSO (RH-SSO)产品的详情，请查看 Red Hat Single Sign-On 产品文档。

前言
复制链接

双因素身份验证为登录过程添加了额外的安全层。除了红帽登录和强密码外，还需要一次性代码来完成登录操作。由身份验证应用程序在智能手机上生成的一次性代码。恢复代码身份验证会生成一次性代码列表，您可以在您的身份验证应用程序不可用时将其用作备份。

使开源包含更多

红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始：master、slave、黑名单和白名单。由于此项工作十分艰巨，这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 的信息。

第 1 章关于红帽用户帐户的双因素身份验证(2FA)
复制链接

红帽允许用户启用双因素身份验证作为登录红帽用户帐户的其他安全层。启用双因素身份验证后，您可以使用您的密码加上一次性代码来登录到您的帐户。一次性代码是第二个身份验证因素。

客户可以通过两种方式使用双因素身份验证功能：

组织双因素身份验证。当您的组织启用双因素身份验证时，属于特定机构帐户的所有用户都需要在每次验证时使用第二个因素。在机构帐户被注册后，用户在第一次登录时会提示用户启用双因素身份验证。
个人选择双因素身份验证。单个用户都可以为其红帽帐户启用或禁用双因素身份验证。当组织启用双因素身份验证时，单个用户无法禁用它。

注意

双因素身份验证的当前实现仅适用于使用基于浏览器的身份验证流程的应用程序。它不适用于通过命令行进行身份验证的验证流程。

1.1. 机构双因素身份验证
复制链接

帐户的机构管理员可以启用机构范围的双因素身份验证。启用后，该帐户上的所有用户必须在登录时使用双因素身份验证进行身份验证。请参阅第 2.1 节 “配置机构范围内的身份验证因素”。

1.2. 双因素身份验证和令牌支持
复制链接

对双因素身份验证的令牌支持仅限于智能手机或其他可以从 Apple App Store 或 Google Play 中安装以下应用程序的设备。

Google Authenticator
FreeOTP Authenticator

Google Authenticator 和 FreeOTP Authenticator 是唯一受支持的令牌生成器。不支持硬件令牌、SMS (text-message)令牌和其他应用程序。

第 2 章使用双因素身份验证
复制链接

使用双因素身份验证由以下活动组成：

机构管理员配置机构范围双因素身份验证。
第 2.1 节 “配置机构范围内的身份验证因素”
验证您的帐户信息（根据需要）
第 2.2 节 “验证您的帐户信息”
为您的红帽用户登录启用 2FA。
第 2.3 节 “为红帽用户帐户启用双因素身份验证”
使用您的 2FA 身份验证代码登录。
第 2.4 节 “使用双因素身份验证登录”
为您的用户登录禁用 2FA。
第 2.5 节 “为红帽用户帐户删除双因素身份验证(2FA)”

注意

Google Authenticator 和 FreeOTP Authenticator 是唯一受支持的令牌生成器，用于提供双因素身份验证一次性代码。不支持硬件令牌、SMS (text-message)令牌和其他应用程序。您可以在智能手机或其他兼容 Android 或 iOS 设备上安装这些应用程序。

当您更新您的签名选项时，您可能需要再次登录。这是一个正常操作，已提供来提高帐户安全性。

2.1. 配置机构范围内的身份验证因素
复制链接

机构管理员可以为其机构中所有用户启用双因素身份验证。启用后，除了用户登录红帽用户帐户的密码外，还必须使用双因素身份验证。

对所有用户启用双因素身份验证后，用户会提示您设置其身份验证应用程序，然后才能继续。当它们完成设置双因素身份验证后，它们必须在每次登录时使用验证器应用中的一次性代码。

注意

当用户选择通过其 签名设置为其用户帐户启用双因素身份验证时，无论机构双因素身份验证设置如何，都为其帐户启用双因素身份验证。

先决条件

只有具有机构管理员权限的用户才能启用机构范围的双因素身份验证。

流程

以具有机构管理员权限的用户身份登录 Red Hat Hybrid Cloud Console。
在登录后，从主页中，单击"设置" (Settings)。
单击 Authentication Policy。
出现 Authentication Policy 窗口时，单击 Authentication Factors。
在 Authentication factors 页面中，检查为您的机构启用双因素身份验证。
点击 Save。

现在，您机构中的所有用户都需要双因素身份验证。

2.2. 验证您的帐户信息
复制链接

在继续启用双因素身份验证前，您可能需要验证您的帐户信息。在启用双因素身份验证前，红帽会验证您的帐户是否具有验证的电子邮件地址和与之关联的电话号码。电话号码是必需的，如果您需要恢复您的帐户，则必须直接向您接收电话电话。

2.2.1. 验证您的电子邮件信息
复制链接

当您登录红帽门户网站时，在收到验证请求时验证您当前的电子邮件地址。如果您的电子邮件还没有被验证，则会出现警告信息："Your email address has not been verify."

先决条件

注册的红帽用户帐户。
您可以在其中收到验证通知的电子邮件地址。

流程

如果您登录红帽门户时收到电子邮件验证请求通知，请按照以下步骤操作。

登录到您的红帽用户帐户。
出现验证警报消息时，如果您尚未收到验证电子邮件，请单击 Resend verification email。
检查您的电子邮件，以获取来自 no-reply@redhat.com 的电子邮件验证信息。
按照电子邮件中的说明验证您的电子邮件地址。
完成说明后，会出现一个验证窗口。

2.2.2. 验证您的电话信息
复制链接

如果您的帐户没有电话号码，您可能会看到验证通知，询问您提供电话号码。

注意

电话号码是必需的，如果您需要恢复您的帐户，则必须直接向您接收电话电话。

先决条件

注册的红帽用户帐户。
您可以接收直接语音调用的电话号码。

流程

如果您在登录红帽门户网站时收到电话号码验证通知，请按照以下步骤操作。

登录到您的红帽用户帐户。
在验证窗口中输入您的联系电话号码（包括任何国家代码）。
点 Submit。

2.3. 为红帽用户帐户启用双因素身份验证
复制链接

您的帐户的机构管理员可以启用机构范围的双因素身份验证，这需要机构中的每个人在登录时使用双因素身份验证。

注意

如果您的公司策略需要双因素身份验证才能访问您的红帽帐户，而您尚未启用双因素身份验证，您会看到在登录后立即启用双因素身份验证的说明。

如果不需要机构范围内的双因素身份验证，您可以为红帽用户帐户启用或打开双因素身份验证。启用双因素身份验证后，除了红帽登录和密码，您还将使用一个一次性代码来登录您的红帽帐户。一次性代码由您在智能手机或其他支持设备上安装的验证器应用程序生成。

先决条件

注册的红帽用户帐户。
安装了 Google Authenticator 应用程序或 FreeOTP 应用程序的智能手机或其他设备。

流程

以下步骤假设您已安装了受支持的验证器应用程序。

在任何红帽站点（如红帽客户门户）上登录您的红帽用户帐户。
点面板右上角的用户 avatar。
1. 单击 帐户详细信息。这时将打开页面，您可以在其中编辑帐户信息。
2. 如果您通过 Red Hat Hybrid Cloud Console 登录，点用户 avatar 下的 My profile 来编辑您的帐户信息。
  
  这时将打开页面，您可以在其中查看您的帐户信息。
  
  注意
  根据您使用的登录门户，可能会显示不同的图标。
点 Login & password。
在 登录和密码页面中，点 Manage two-factor authentication。此时会打开 Signing in 页面。
在 Signing in 页面中，单击 Set up authenticator application。您必须先登录才能验证您的帐户，然后才能显示 Enable two-factor authentication 页面。
在智能手机上打开验证器应用程序，再选择添加令牌的选项。您可以使用这些方法之一为红帽双因素身份验证添加令牌。
1. 使用验证器应用程序扫描在 双因素身份验证 页面上打开的 QR 代码。
2. 或者，您可以点 Unable to scan?输入密钥，它会显示一个 32 个字符的密钥字符串，您必须输入到验证器应用程序中。
扫描 QR 代码（或输入密钥字符串）后，验证器应用程序会创建一个初始一次性 6 位代码。将此代码输入到 一次性代码 字段中。
您可以在 Device name 字段中输入可选名称。此名称可以提醒您哪个移动设备具有此登录的验证器应用程序。
- 点 Enable 完成设置双因素身份验证。

验证

在页面中的签名会显示当 authenticator 应用程序被设置以及您为应用程序提供的任何可选名称时。

img RH 2FA enable complete

2.4. 使用双因素身份验证登录
复制链接

使用验证器应用程序提供的一次性代码登录到任何红帽站点（如红帽客户门户网站）上的红帽用户帐户。验证器应用程序每 30 秒刷新一次性代码。由于时间，如果初始代码无法正常工作，您可能需要输入刷新的代码。

先决条件

注册了一个启用了双因素身份验证的红帽用户帐户。
第 2.3 节 “为红帽用户帐户启用双因素身份验证”
安装了 Google Authenticator 应用程序或 FreeOTP 应用程序的智能手机或其他设备。

流程

打开验证器应用程序。
使用您的浏览器导航到红帽网站，如红帽客户门户网站。
输入您的 Red Hat 登录信息。
输入您的红帽密码。此时会打开一个页面来验证双因素身份验证。
在一次性密码框中输入来自验证器应用程序的 6 位一次性代码，然后点击登录。
您的红帽客户问候页将打开。

验证

如果没有接受 6 位的一次性代码，您将保留在验证页面中。您可以尝试以下操作：

等待几秒钟，然后从您的验证器应用程序输入新代码。
如果您在验证器应用程序中启用了多个令牌，请确保将令牌用于您的红帽帐户。例如，您可能具有 Google 帐户、银行帐户和红帽帐户的双因素身份验证令牌。
如果您无法成功登录到启用了双因素身份验证的红帽，请联系红帽支持以获得重置帐户的帮助。https://access.redhat.com/support/contact/

2.5. 为红帽用户帐户删除双因素身份验证(2FA)
复制链接

您可以删除红帽用户帐户的双因素身份验证。如果机构管理员设置了需要用户帐户启用双因素身份验证的策略，则下一次删除双因素身份验证后，您必须为您的用户登录重新启用双因素身份验证。

每次您重新启用用户登录的双因素身份验证时，您都会向验证器应用添加新令牌。您最多可以管理智能手机上禁用的令牌。

如果您丢失了验证器设备，且需要红帽支持撤销您的双因素验证，请参阅第 4 章 当验证器设备丢失时，撤销双因素身份验证。

先决条件

注册的红帽用户帐户。
安装了 Google Authenticator 应用程序或 FreeOTP 应用程序的智能手机或其他设备。
启用了双因素身份验证的红帽用户帐户。

流程

使用双因素身份验证登录到您的红帽用户帐户。
第 2.4 节 “使用双因素身份验证登录”
点页面右上角的用户 avatar。
1. 单击 帐户详细信息。这时将打开页面，您可以在其中编辑帐户信息。
2. 如果您通过 Red Hat Hybrid Cloud Console 登录，点用户 avatar 下的 My profile 来编辑您的帐户信息。
+ 页面将打开，您可以在其中查看您的帐户信息。

注意
根据您使用的登录门户，可能会显示不同的图标。
点 Login & password。
在 登录和密码页面中，点 Manage 2factor authentication。此时会打开 Signing in 页面。
点 Delete 以删除您的用户登录的双因素身份验证。
注意
Delete 按钮会禁用，或者为您的用户登录关闭双因素身份验证。如果您重新启用双因素身份验证，您将重复启用身份验证步骤，这将向验证器应用添加新令牌。与禁用验证器关联的令牌将无法正常工作。
若要进行验证，您必须使用双因素身份验证再次登录。此时会出现一个页面，您可以在其中单击确认，以从您的用户帐户中删除双因素身份验证。确认删除后，您返回到 Signing in 页面。

第 3 章将恢复代码用于双因素身份验证
复制链接

如果验证器应用程序不可用，恢复代码提供了一种替代的方法来验证您的双因素身份验证。设置恢复代码时，您将获得一个与您的登录独有的代码列表。每个代码都可以使用一次，系统会在使用时跟踪每个代码。您还可以删除用户帐户的恢复代码。

您可以使用恢复代码作为辅助双因素身份验证，或者在智能手机上设置验证器应用程序的情况下将其用作主要双因素身份验证。但是，首选的操作是使用恢复代码作为您的验证器应用程序的备份。

当您更新您的签名选项时，您可能需要再次登录。这是一个正常操作，已提供来提高帐户安全性。

如果您无法成功登录到启用了恢复代码的红帽，请联系红帽支持以获得重置帐户的帮助。https://access.redhat.com/support/contact/

第 3.1 节 “为双因素身份验证创建恢复代码”
第 3.2 节 “使用双因素身份验证的恢复代码登录”
第 3.3 节 “为双因素身份验证删除恢复代码”

3.1. 为双因素身份验证创建恢复代码
复制链接

在为帐户启用双因素身份验证后，创建恢复代码。如果您丢失验证器设备，您可以使用恢复代码进行验证并登录到您的帐户。

重要

如果您选择不设置恢复代码，则可能丢失对您的帐户的访问权限。

先决条件

为您的帐户启用双因素身份验证。
第 2.3 节 “为红帽用户帐户启用双因素身份验证”

流程

在任何红帽站点（如红帽客户门户）上登录您的红帽用户帐户。
点页面右上角的用户 avatar。
1. 单击 帐户详细信息。这时将打开页面，您可以在其中编辑帐户信息。
2. 如果您通过 Red Hat Hybrid Cloud Console 登录，点用户 avatar 下的 My profile 来编辑您的帐户信息。
+ 页面将打开，您可以在其中查看您的帐户信息。

注意
根据您使用的登录门户，可能会显示不同的图标。
单击 帐户详细信息。这时将打开页面，您可以在其中编辑帐户信息。
点 Login & password。
在 登录和密码 页面中，向下滚动到双因素身份验证，然后点 Manage 2-factor authentication 。此时会打开 Signing in 页面。
点 Set up recovery code。
恢复代码 页面会打开并显示唯一代码列表。
请仔细按照本页中的说明进行打印、下载或复制代码列表。

重要
将恢复代码保存在安全的地方。当您启用恢复代码时，您下次登录时将要求您输入恢复代码。
单击 Complete setup，以返回到 页面中的 Signing。
Signing in 页面中会验证您创建恢复代码以及已使用了数量的时间。

3.2. 使用双因素身份验证的恢复代码登录
复制链接

使用恢复代码登录到您的红帽帐户。

先决条件

注册了一个启用了双因素身份验证的红帽用户帐户。
第 2.3 节 “为红帽用户帐户启用双因素身份验证”
您必须有权访问您的恢复代码。
第 3.1 节 “为双因素身份验证创建恢复代码”

流程

使用您的浏览器导航到红帽网站，如红帽客户门户网站。
使用您的 Red Hat 登录登录。
输入您的红帽密码。这时将打开页面，以验证双因素身份验证并请求一次性代码。
点 Try another way。
系统将提示您选择恢复代码。
输入您列表中的恢复代码，然后单击登录。
您的红帽客户问候页将打开。

3.3. 为双因素身份验证删除恢复代码
复制链接

您可以删除现有恢复代码。如果您删除了帐户的恢复代码，则不会 在登录到您的红帽帐户时提示您使用恢复代码。

先决条件

为您的红帽帐户创建了恢复代码。
第 3.1 节 “为双因素身份验证创建恢复代码”
您可以登录到您的用户帐户。

流程

在任何红帽站点（如红帽客户门户）上登录您的红帽用户帐户。
点面板右上角的用户 avatar。
1. 单击 帐户详细信息。这时将打开页面，您可以在其中编辑帐户信息。
2. 如果您通过 Red Hat Hybrid Cloud Console 登录，点用户 avatar 下的 My profile 来编辑您的帐户信息。
+ 页面将打开，您可以在其中查看您的帐户信息。

注意
根据您使用的登录门户，可能会显示不同的图标。
单击 帐户详细信息。这时将打开页面，您可以在其中编辑帐户信息。
点 Login & password。
在 登录和密码 页面中，向下滚动到双因素身份验证，然后点 Manage 2-factor authentication 。此时会打开 Signing in 页面。
向下滚动到 恢复代码。
点击 Remove。

删除恢复代码后，您可以创建新集合。

第 4 章当验证器设备丢失时，撤销双因素身份验证
复制链接

当验证器设备丢失且没有可用的恢复码时，或者在您没有启用双因素身份验证时，或者没有其他方法登录到您的帐户时，您可以撤销红帽帐户上的双因素身份验证保护。红帽支持通过电话电话或 7 天电子邮件响应立即执行此操作。撤销双因素身份验证的所有请求都必须通过电话进行。您不能使用电子邮件通知或其他在线请求撤销双因素身份验证。

有关设置联系电话号码的详情，请查看第 2.2 节 “验证您的帐户信息”。

重要

从红帽支持到您的帐户电话号码进行帐户验证是红帽安全团队批准的唯一方法，从而快速撤销双因素身份验证设置。这个过程没有例外。

注意

密码重置通过电子邮件完成，使用您的帐户的电子邮件地址。您无法通过电子邮件撤销双因素身份验证，您无法通过电话通行重置密码。

4.1. 立即撤销双因素身份验证
复制链接

要立即撤销您的帐户中的双因素身份验证，您必须通过电话访问。红帽支持请致电您帐户的电话号码。这种带传出调用确认的两步流程可保护您的帐户的安全性。它是红帽安全团队批准的唯一方法，允许电话撤销双因素身份验证设置。

如果您不接受来自红帽支持的返回调用，则您的帐户上的双因素身份验证无法快速撤销。https://access.redhat.com/support/contact/

撤销双因素身份验证后，您可以使用有效的密码登录。根据您的机构策略，您可能需要在登录后立即启用双因素身份验证。

4.2. 吊销 7 天等待周期的双因素身份验证
复制链接

当您无法接受您帐户的电话号码的电话时，红帽支持团队会向与您的帐户关联的电子邮件地址发送电子邮件通知。该电子邮件通知帐户拥有者，双因素身份验证将在 7 天内撤销。如果您决定不希望双因素身份验证撤销，您可以回复通知电子邮件。

法律通告
复制链接

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

使用双因素身份验证