[TITLE]
双因素认证(2FA)完整指南:概念、设置、登录与强制策略
[DESCRIPTION]
本文详细介绍了双因素认证(2FA)的概念、常用手机认证器及密码管理器选择、在 Odoo 中的设置步骤、登录流程以及如何在系统中强制启用 2FA,帮助提升账户安全。
[KEYWORDS]
双因素认证, 2FA, 身份验证, Odoo, 手机认证器, Google Authenticator, 安全设置, 登录流程, 强制认证, 密码管理
[TRANSLATED_CONTENT]
双因素认证
双因素认证(2FA) 是一种提升安全性的方式,能够防止未经授权的人员访问用户账户。
实际上,2FA(双因素认证) 意味着在 认证器(通常是手机)中存储一个密钥,并在登录时从认证器获取验证码。
这意味着未经授权的用户必须同时猜出账户密码并拥有认证器,难度更大。
要求
:::: important
::: title
重要
:::
以下列表仅为示例,不代表对任何特定软件的背书。
::::
基于手机的认证器是最简便且最常用的。示例包括:
密码管理器是另一种选择,常见示例包括:
:::: note
::: title
注意
:::
本文其余部分以 Google Authenticator 为例,因为它是最常用的之一。这并不意味着对该产品的背书。
::::
双因素认证设置
选择好认证器后,登录 Odoo,点击右上角的个人头像,然后在弹出菜单中选择 我的个人资料。
点击 账户安全 标签页,将 双因素认证 开关滑动至 启用。
系统会弹出 安全控制 窗口,需要确认密码后才能继续。输入相应密码并点击 确认密码。随后会出现 双因素认证激活 窗口,显示一个 QR(快速响应) 码。
使用选定的认证器应用扫描该 QR(快速响应) 码。
:::: tip
::: title
提示
:::
如果无法扫描屏幕(例如在同一设备上完成设置),可以点击提供的 无法扫描? 链接,或复制密钥手动在认证器中设置。
完成后,认证器会显示一个 验证码。
将验证码输入 验证码 字段,然后点击 激活。
登录
要确认 2FA(双因素认证) 已完成设置,先退出 Odoo。
在登录页面输入用户名和密码后点击 登录。在出现的 双因素认证 页面中,将所选认证器提供的代码输入 认证码 字段,然后再次点击 登录。
{.align-center}
:::: danger
::: title
危险
:::
如果用户失去了对认证器的访问,管理员 必须 在用户再次登录前先在账户上停用 2FA(双因素认证)。
::::
强制双因素认证
若要对所有用户强制使用 2FA(双因素认证),首先进入 主 Odoo 仪表盘 --> 应用。在搜索栏中移除 应用 过滤器,然后搜索 2FA by mail。
在 2FA by mail 模块的看板卡上点击 安装。
{.align-center}
安装完成后,进入 设置应用:权限,勾选 强制双因素认证 复选框。随后使用单选按钮选择将此设置应用于 仅员工 或 所有用户。
:::: note
::: title
注意
:::
选择 所有用户 时,设置同样会作用于门户用户。
::::
{.align-center}
点击 保存 以提交所有未保存的更改。
[SUMMARY]
- 双因素认证(2FA)
- 概念
- 通过密码 + 认证器提升安全
- 要求
- 重要提示(不背书)
- 常用手机认证器
- Authy、FreeOTP、Google Authenticator、LastPass Authenticator、Microsoft Authenticator
- 常用密码管理器
- 1Password、Bitwarden
- 注意(示例使用 Google Authenticator)
- 设置步骤
- 进入个人资料 → 账户安全 → 启用双因素认证
- 输入密码确认
- 扫描 QR 码或手动输入密钥
- 输入认证器生成的验证码并激活
- 登录流程
- 输入用户名、密码 → 输入认证码 → 完成登录
- 丢失认证器处理
- 管理员必须先停用 2FA 才能让用户重新登录
- 强制双因素认证
- 安装 “2FA by mail” 模块
- 在设置 → 权限中勾选 “强制双因素认证”
- 选择适用范围:仅员工或所有用户
- 保存设置
- 概念