返回顶部

使用 ArcGIS 进行多重身份验证

多重身份验证 (MFA) 指使用多种方法、凭证或因素来验证尝试向系统进行身份验证的用户或客户端的身份。 相比之下,单重身份验证可能依赖于单一身份验证方法,例如密码。 多重身份验证可用于确保被盗的凭据或密钥本身不足以模拟用户。

因素可以由任何可安全、可验证的数据片段组成。 最简单的是,它表示密码,但包括其他形式,例如:

  • 个人身份证号码或 PIN
  • 安全问题 - 用户提供的答案,该答案在登录期间经过验证(并且最初由用户指定)
  • 生物识别因素 - 包含视网膜或指纹特征模板
  • 软令牌 - 通常是基于软件的随机数生成器,它以特定输入为种子,证明运行该软件的设备是唯一能够正确生成该数字的设备。
  • 硬令牌 - 通常是一种软件设备(如密钥链),用于显示只有该设备才能识别的一串字符或数字,以证明用户拥有该设备。
  • 无密码身份验证设备和技术(如 FIDO2)
  • 基于 SMS 的 MFA - 将验证码发送到已知电话号码,然后用户提供该验证码来验证对接收 SMS 的移动设备的访问。
  • 基于软件的 MFA - 另一个应用程序(通常在移动设备上运行)会收到一条推送通知,用户在授予访问权限之前对其进行验证。
  • 智能卡 - 通常也称为个人身份验证卡,通常包含特定的客户端证书。

MFA 可以在身份验证过程的任何或所有步骤中实施。 它通常在初始身份验证或验证期间使用,之后系统在一段时间内不会提示重新进行身份验证。 这用于简化用户访问并防止 MFA 系统用户体验不佳,在该选项可用的情况下,用户可能会关闭其他因素。

通常,首次通过特定身份提供商或系统登录时,需要多个身份验证因素,尤其在使用无法识别的硬件(如公共 PC 或新的移动设备)时。 建立身份后,许多系统使用 Cookie 或设备信息、位置或 IP 地址的组合,以在未来从该设备或系统登录时绕过 MFA 要求。

常见 MFA 模式

虽然 MFA 的实现可以采用多种形式,但企业系统的常见模式包括:

  • 最常见的是,在身份提供商 (IdP) 级别下强制执行 MFA 要求。 IdP 为 ArcGIS Enterprise 或 ArcGIS Online 提供基于 SAML 或 Open ID Connect 的登录账户。
    • 在这种情况下,用户在 SAML 或 OIDC 登录流程中操作时,系统会提示输入其他因素。 这可能发生在 IdP 提供的站点或接口上,并且 ArcGIS 软件不知道 MFA 要求。 这是 IdP 专门要求的并由其进行验证。
  • 适用于内置 ArcGIS Enterprise 账户的 MFA
    • 可以为内置 ArcGIS Enterprise 账户启用此选项。 它为内置用户提供了使用现有应用程序(如 Google Authenticator)设置 MFA 的选项。 有关详细信息,请参阅 ArcGIS Enterprise 中的多重身份验证
  • 适用于内置 ArcGIS Online 账户的 MFA
    • 与上述示例一样,可以使用内置 ArcGIS Online 账户启用 MFA。 有关详细信息,请参阅 ArcGIS Online 中的多重身份验证

实施 MFA 时的注意事项

  • ArcGIS 依赖于基于 OAuth 的身份验证进程进行基于应用程序的登录,包括 Field Maps 或 ArcGIS Pro。 这意味着,在登录过程中,将从应用程序本身启动的嵌入式或外部 Web 浏览器中直接处理来自身份提供者或 ArcGIS 本身的 MFA 提示。 用户会话一经建立即持续有效,期间无需重复验证,直至其重新进行身份认证。 此登录流通常在嵌入式或单独的浏览器窗口中运行,该窗口可以处理 Cookie、重定向以及 SAML 和 OIDC 提供商的多种基于浏览器的 MFA。
  • 对于涉及常规无标头请求(如脚本化流程或工作流自动化系统)或后端服务器到服务器通信的任何工作流,请注意以适当的方式实施 MFA,不要导致这些请求失败,否则可能会意外中断通信或自动化。
  • 为工作流(例如连接到数据库)启用的 MFA 可能仅在明确支持的情况下才能在 ArcGIS 中成功,请检查数据库系统的 ArcGIS 发行说明和要求,以验证是否可提供支持。

总之,MFA 有许多不同的定义,并且可以在各种软件包中以不同的方式进行配置,但从 ArcGIS 的角度来看,MFA 通常在企业登录模式的身份提供者级别进行配置并受到完全支持,或者添加到 ArcGIS Enterprise 或 ArcGIS Online 的内置登录进程中。

Top