身份验证模块的通用设置
Common Settings (通用设置) 页面显示应用于 IDE Services 所有身份验证模块的配置选项。 要访问此页面,请从 Administration (行政) 菜单的 Access Management (权限管理) 部分选择 Auth Modules (身份验证模块) ,然后点击工具栏中的 Common settings (常规设置) 链接。
常规设置
以下设置显示在 General (常规) 选项卡上:
设置 | 描述 |
|---|---|
令牌超时 | 指定访问令牌的最长期限。 通过减少此值,可以限制已获取访问令牌的恶意用户访问应用程序的时间。 默认值为一小时。 在访问令牌即将过期前,IDE Services 会使用刷新令牌获取新的刷新令牌和访问令牌。 只要用户仍有有效的会话 Cookie,此过程将在后台进行,无需注销用户。 减小该值会对性能产生越来越大的负面影响,因为应用程序需要更频繁地替换过期的令牌。 |
会话超时 | 指定在 IDE Services 自动终止会话之前,会话可保持空闲的时长。 当 Remember me (记住我) 选项被禁用时,此设置为允许用户无需再次登录即可访问应用程序的会话 Cookie 生命周期。 |
记住我的持续时间 | 指定 IDE Services 记住登录会话的时长。 当 Remember me (记住我) 选项被启用时,此设置为允许用户无需再次登录即可访问应用程序的会话 Cookie 生命周期。 |
验证电子邮件 | 确定用户是否必须验证其电子邮件地址才能登录 IDE Services。 为提高安装的安全性,请启用此选项。 请注意,具有 Low-level Administration (低级管理) 权限的用户无需进行电子邮件验证。 这确保您的管理员始终可以访问应用程序。 |
用户名字段占位符 | 设置在登录页面用户名字段中显示的占位符文本。 使用此设置告知用户哪些值可作为用户名。 默认占位符为 Username or Email (用户名或电子邮件)。 例如,如果您使用的目录服务仅接受员工 ID 登录,则可以显示 Employee ID (员工编号) 作为占位符,而不是默认占位符。 |
限制设置
限制或速率限制有助于保护 IDE Services 免受暴力破解攻击。 Common Settings (通用设置) 页面上的选项可让您对登录尝试和凭据验证请求应用速率限制。 登录速率限制是按登录账号应用的。 速率限制通过在多次连续登录失败后阻止新的登录请求,有助于减缓暴力破解攻击,从而保障您的密码安全。
此功能专为 reCAPTCHA 设计。 当登录被速率限制时,用户可以通过解决基于 CAPTCHA 的挑战尝试另一个密码。 如果未配置 reCAPTCHA,受影响的用户必须等待冷却期结束后才能尝试再次登录。
启用 Throttling by login (登录限制) 后,请使用本选项卡上的设置管理如何对登录和凭据验证请求应用限制。
设置 | 描述 |
|---|---|
限制 | 对登录和凭据验证请求启用速率限制。 |
受信任的登录 | 未跟踪失败登录请求的登录列表。 每行输入一个登录账号。 当用户超过每个登录的最大失败次数时,该登录将显示在 Throttled logins (被限制的登录) 列表中。 要为受影响的用户禁用限制,请点击 Add to list of trusted logins (添加到受信任的登录列表) 按钮。 您可以使用受信任的登录,确保即使在 IDE Services 正在跟踪最大登录数时,管理员也能正常登录。 但在受信任登录列表中的用户应特别注意使用强密码保护账户,因为他们的登录不受暴力破解攻击保护。 |
审核 | 链接到与此页面的限制设置更改相关的审计事件列表。 |
受限制的登录 | 当前受速率限制跟踪的登录列表。 可使用此列表跟踪哪些账户在冷却期内记录过一次或多次登录失败。 要将账户添加到受信任登录列表,请在列表中选择一个或多个账户,然后点击 Add to list of trusted logins (添加到受信任的登录列表) 按钮。 |
CAPTCHA 设置
CAPTCHA (验证码) 选项卡上的设置可帮助您设置并使用 Google reCAPTCHA。
reCAPTCHA 服务要求用户解决基于 CAPTCHA 的挑战,以证明自己不是机器人。 以下情况下会显示该挑战:
当 IDE Services 身份验证模块启用注册时。 用户必须证明自己不是机器人才能注册自己的账号。
启用登录限制并超过最大失败登录尝试数时。 受影响用户必须完成挑战后才能尝试其他密码。
要为自助注册和受限登录启用 reCAPTCHA:
在 Auth Modules > Common Settings (认证模块 > 通用设置) 页面的 reCAPTCHA Settings (reCAPTCHA 设置) 部分,点击链接以访问 reCAPTCHA 密钥管理控制台。
reCAPTCHA 管理控制台 页面将打开。
点击头部中的 Create (创建) 图标。
将您的 IDE Services 域注册到 reCAPTCHA 服务。 reCAPTCHA 属于 Google 服务,您可以使用 Google 帐号登录。 请在注册并生成密钥前阅读页面提供的提示。
在 Google 中复制 Site key (站点密钥) ,并粘贴到 Common Settings (通用设置) 页面中相应的输入框。
在 Google 中复制 Secret key (密钥) ,并粘贴到 Common Settings (通用设置) 页面中相应的输入框。
点击 Save (保存) 按钮。
reCAPTCHA 验证输入已为在 IDE Services 注册账户的用户或登录受限的用户启用。
如何从暴力破解攻击中恢复
很少有攻击者愿意耐心猜测触发身份验证限制的条件。 他们更可能放弃并寻找更容易的目标。
但如果攻击者在未触发速率限制的情况下仍能访问应用,则可能存在问题。 这并不一定意味着限制失效——而是说明允许用户创建过于容易猜测的弱密码。
如果怀疑恶意用户已获得未授权访问:
请检查安全日志以识别被攻破的账户。
浏览审计事件,发现可疑操作并确认被攻破用户所做的更改。
更新您的 IDE Services 身份验证模块设置以实施更强的密码策略。 如需详细信息,请参阅 设置密码策略。
访问每个被攻破账户的用户资料,并要求他们更改密码。 您可以强制这些用户下次登录时更改密码。 或者,您也可以强制所有用户更改其 IDE Services 账户密码。 如需详细信息,请参阅 要求 Hub 登录使用新密码。 。