概述
MFA 覆盖范围
管理员在组织范围内强制执行 MFA;合作伙伴为财务与调度负责人启用。
宾客可选择保护含已保存支付方式与乘客档案的账户。
旅客更换手机时,备用码可重新生成一次性恢复集。
- TOTP 验证器应用
- 一次性备用码
- 组织强制执行策略
- 恢复工作流
如何运作
添加第二因素
- 步骤 1
扫描
用户将二维码扫描至 Google Authenticator、Authy 或兼容应用。
- 步骤 2
验证
验证码在 MFA 标记为激活前确认密钥。
- 步骤 3
恢复
设备丢失时备用码可解锁访问;管理员可在审计下进行重置。
优势
保护价值
凭证填充防御
仅凭被盗密码无法访问调度或收款页面。
合规一致性
MFA 满足常见企业安全问卷要求。
可配置的强制执行
租户可分阶段推出——对宾客可选,对管理员强制。
安全
MFA 安全
密钥在静态时加密;锁定策略限制 OTP 暴力破解尝试。
管理员重置需要超级管理员审批,并生成审计事件。
- 加密的 TOTP 密钥
- OTP 尝试限速
- 管理员重置审批
- 绕过操作审计
集成
认证集成
MFA 与 JWT 会话签发集成——在密码或 OAuth 登录成功后触发升级挑战。
客户与合作伙伴门户中的安全设置面板管理注册流程。
- 升级 JWT 声明
- 门户安全设置
- 备用码哈希
- 组织策略 API
应用场景
MFA 采用者
总部管理员
全球管理员在访问收款审批前强制执行 MFA。
合作伙伴财务
财务主管用验证器挑战保护结算导出。
贵宾宾客
高净值旅客主动启用以保护已保存的美国运通卡档案。
支持