ikey 3 0雙因素動態(tài)口令身份認證系統(tǒng)管理員操作指南

〖手冊目標〖閱讀對象〖手冊構(gòu)成第1第2第3〖手冊目標〖閱讀對象〖手冊構(gòu)成第1第2第3第4第5第6第7第8第9〖手冊約定目錄12管理系統(tǒng)簡 系統(tǒng)支 運行環(huán) 3軟件環(huán) 硬目錄12管理系統(tǒng)簡 系統(tǒng)支 運行環(huán) 3軟件環(huán) 硬件環(huán) 4系統(tǒng)安 管理界面介 5登錄界 系統(tǒng)登錄主界 6使用指 查看管理員信 系統(tǒng)導(dǎo)入令 令牌管理操 應(yīng)用管 用戶管 帳戶管 日志管 7功能說 管理員自 管理員信息查 修改靜態(tài)密 綁定令 管理員管 組織管理列 管理員角色列 區(qū)域管理員列 待審核角色列 令牌管 令牌導(dǎo) 令牌信息查 令牌開戶、銷 令牌掛失、解 令牌凍結(jié)、解 令牌鎖定與解 認證時間設(shè) 設(shè)置令牌認證次 設(shè)置令牌所屬區(qū) 令牌刪 令牌PIN碼策 令牌認 令牌校 應(yīng)用管 創(chuàng)建應(yīng) 查詢應(yīng)用列 啟用、暫停、刪除應(yīng)創(chuàng)建應(yīng) 查詢應(yīng)用列 啟用、暫停、刪除應(yīng) 生成更新證 用戶管 新建用 批量導(dǎo)入用 用戶列表查 查看用戶個人信 修改個人信 刪除用 綁定令 更換令 PIN碼設(shè) 臨時密 短信網(wǎng)關(guān)發(fā)送令牌口 用戶應(yīng)用帳戶列 帳戶管 添加 添加帳 帳戶列表查 查看組信 組策略設(shè) 批量認證帳戶導(dǎo) 導(dǎo)入帳戶綁 應(yīng)用帳戶拷 日志查 認證日志查 管理日志查 用戶自助功 8自助系統(tǒng)登錄界 查看用戶信 修改密 帳戶管 令牌校 令牌掛 令牌解 設(shè)置PIN 發(fā)送臨時密 附 9 使用端口（需要防火墻開啟的端口 支持與服 2統(tǒng)支2統(tǒng)支WindowsLinux3行環(huán)軟件環(huán)硬件環(huán)4統(tǒng)安iKEY管理系統(tǒng)安裝具體信息可參考文檔《登錄界登錄界WEBhttps://IP/admin.login.php地址（IPiKEY-ServerIP地址）,iKEY令牌系統(tǒng)登錄主界6用指 查看管6用指 查看管理員信iKEYadmin擁有所有角色權(quán)限，admin管理員為系統(tǒng)添加各管理區(qū)注：管理員權(quán)限角色功能具體信息可查看 管理員管理功能 系統(tǒng)導(dǎo)入令iKEYOpearAdmin角色的管理員在令牌管理功能中為管理系統(tǒng)導(dǎo)入iKEY令牌信息。 令牌管理操可查看管理區(qū)域內(nèi)的令牌信息以及對令牌進行管理操作，具體操作可參考7.3令牌管理。 應(yīng)用管7.4 用戶管7.4 用戶管信息以及為用戶令牌進行操作，具體可參考7.5用戶管理。 帳戶管OperaAdmin角色權(quán)限的管理員為用戶添加各應(yīng)用服務(wù)中的應(yīng)用帳戶，方便用戶在使用iKEY 日志管7能說 管理員自7.1.1管理員信息7.1.2修改靜態(tài)密修7.1.2修改靜態(tài)密修改管理員帳號登錄密碼，輸入原始密碼和2次新的密碼，修改成功注：管理員密碼必須為數(shù)字、字母、特殊符號3種以上組合才可7.1.3綁定令管理員將自己帳號與用戶帳號綁定，需要用戶帳號和綁定帳號的令牌動態(tài)口令注：用戶帳號必須已經(jīng)綁定令牌綁定后的管理員帳號登錄管理系統(tǒng)時需要輸入綁定用戶令牌的動態(tài)密碼通過身份認證錄方式。在頁面上直接點擊“解除綁定”即可 管理員管只有具有RootAdmin角色的管理員可以在管理員管理中進行相關(guān)操作7.2.1組織管理列在管理員管理中，管理員查看個管理區(qū)域的組織結(jié)構(gòu)，只能查看自己所屬區(qū)域和該區(qū)的子區(qū)域的結(jié)構(gòu)，并且可以為自己權(quán)限下的區(qū)域添加子區(qū)域和子管理員點開管理員管理>組織管理列表添加子區(qū)為整個管理系統(tǒng)劃分區(qū)域，劃分區(qū)域的結(jié)構(gòu)按樹形分層例如：在當(dāng)前base區(qū)域下，選擇添加子區(qū)域，輸入子區(qū)域名和區(qū)域描述，點擊“確定添加成功修改區(qū)域只有具修改區(qū)域只有具有OrganAdmin角色的管理員可以為系統(tǒng)添加子區(qū)域和修改區(qū)域設(shè)置添加區(qū)域管理注：只注：只有具有RootAdmin角色的管理員可以為系統(tǒng)添加子區(qū)域7.2.2管理員角色AppAdmin：應(yīng)用管理員，只能管理應(yīng)用服務(wù)信息。AppAdmin：應(yīng)用管理員，只能管理應(yīng)用服務(wù)信息。OrganAdmin：機構(gòu)管理員，只能管理組織區(qū)域。點擊“管理員管理”>“管理員角色列表顯示本管理員角色信息，如圖所示7.2.3區(qū)域管理員注：只有具有RootAdmin角色的管理員可以對區(qū)域管理員進行管理操作刪除區(qū)域刪除區(qū)域修改管理修改管理在區(qū)域修改管理在區(qū)域管理員列表頁面中，選擇需要修改管理員密碼的區(qū)域管理員，點擊“管理員名設(shè)置管理在區(qū)域管理員列表頁面中，選擇需要查看修改角色的區(qū)域管理員，點擊“管理員名”接，系統(tǒng)彈出菜單框，點擊“角色列表”，進入管理員角色列表頁面，如圖所示置角色”鏈接，顯示設(shè)置角色頁面，如圖所示，只有設(shè)置了角色的管理員才可以在iKEY管系統(tǒng)中各功能中進行管理操作注：修改了角色信息的管理員還需要系統(tǒng)審核管理員進行審核角色功能，只有通過審后的角色功能才能生效。具體操作可參見“5.2.4待審核角色列表”凍結(jié)、解凍管在區(qū)域管理員列表頁面中，選擇需要凍結(jié)的區(qū)域管理員，點擊“管理員名”鏈接，系彈出菜單框，點擊“凍結(jié)”，凍結(jié)管理員，凍結(jié)的管理員無法登iKEY管理系統(tǒng)7.2.4待審核角色7.2.4待審核角色只有具有RoleCheckAdmin角色權(quán)限的管理員可以審核管理員角色權(quán)限7.3令牌管7.3令牌管只有具有OperaAdmin角色的管理員可以在令牌管理中進行相關(guān)操作7.3.1令牌導(dǎo)點擊“令牌管理”>“令牌導(dǎo)入頁面顯示如圖所示，選擇導(dǎo)入令牌信息的文件，輸7.3.2令牌信息查點擊“7.3.2令牌信息查點擊“令牌管理”>“令牌列表查詢顯示頁面。可根據(jù)令牌序列號、令牌狀態(tài)和令所屬區(qū)域查詢顯示導(dǎo)入系統(tǒng)的令牌信息列表，查詢方式采用模糊查詢，如圖所示，采取分顯示方式，每頁顯示20條記錄方便管理員查看注：管理員只能查詢當(dāng)前區(qū)域以及管理范圍內(nèi)的子區(qū)域中的令牌7.3.3令牌開戶、管理員可以為令牌開通用戶，用戶帳號與令牌綁定在令牌信息列表頁面上點擊未分配狀態(tài)的令牌鏈接，顯示令牌信息頁面如圖所示，點令牌開戶，輸入用戶名（新建用戶名必須是中文、英文、數(shù)字、下劃線4-20位組成）密碼對于已經(jīng)綁定用戶對于已經(jīng)綁定用戶帳號的令牌，管理員可以進行銷戶操作，解除令牌與用戶的綁定，戶的令牌可以重新分配。消除的用戶帳號將從系統(tǒng)中被刪除牌與用戶的綁定關(guān)系7.3.4令牌掛失、iKEY7.3.4令牌掛失、iKEY身份認證，掛失后用戶可以使用臨時口令進行身份認證（臨時口令設(shè)置與發(fā)送詳細請參考4.5.14。注：未開通用戶的令牌無法進行掛失操作7.3.5令牌凍結(jié)、7.3.5令牌凍結(jié)、注：未開通用戶的令牌無法進行凍結(jié)操作7.3.6令牌鎖定與7.3.6令牌鎖定與用戶（可在ikey_auth_check.ini配置文件中設(shè)置。7.3.7認證時間設(shè)7.3.8設(shè)置令牌認證次7.3.9設(shè)置令牌所屬區(qū)7.3.9設(shè)置令牌所屬區(qū)管理員可以為令牌設(shè)置所屬區(qū)域，方便區(qū)域管理員對自己區(qū)域下的令牌進行管理。管員只能將令牌分配到自己的子區(qū)域進行管理管理員可以在令牌信息頁面上點擊“組織結(jié)構(gòu)設(shè)置”按鈕，彈出設(shè)置界面，選擇所屬域，為令牌設(shè)置區(qū)域7.3.10令牌刪進入需要刪除7.3.10令牌刪進入需要刪除的令牌信息頁面，點擊“刪除”按鈕，彈出提示框“確定要刪除？”點確定，永久刪除該令牌7.3.11PIN策對于綁定了用戶帳號的令牌，可以為用戶設(shè)PIN碼，使得用戶在使用iKEY身份認應(yīng)用時更加安全可靠。具體實現(xiàn)可參見本手冊5.6.7“用戶管理功能中PIN碼設(shè)置禁止使PIN碼：用戶不能為令牌設(shè)置PIN碼。7.3.12令牌認注：未綁定用戶的令牌無法進行有效性的認點擊“令牌管理”>“令牌認證在令牌認證頁面中，選擇認證方式，輸入相應(yīng)的認其中“令牌別名”即為其中“令牌別名”即為與令牌綁定的用戶名；“帳戶名”即為應(yīng)用帳戶名PIN碼的令牌在認證時，認證密碼的方式是“PIN碼+動態(tài)密碼”7.3.13令牌校當(dāng)用戶令牌時間與iKEY認證服務(wù)器時間產(chǎn)生偏差時，將會影響iKEY身份認證，系統(tǒng)供手動對令牌進行校時，使令牌時間與服務(wù)器時間同步點擊“用戶管理”>“令牌校時在令牌校時頁面，選擇校時方式，帳戶（用戶應(yīng)用 應(yīng)用管iKEY 應(yīng)用管iKEY身份認證的應(yīng)用管理，管理員可以添加應(yīng)用服務(wù)信息，并對應(yīng)用進行暫停、只有具有AppAdmin角色權(quán)限的管理員可以在應(yīng)用管理中進行相關(guān)操作7.4.1創(chuàng)建應(yīng)建新的應(yīng)用服務(wù)7.4.2查詢應(yīng)用列進入應(yīng)用列表查詢頁面，查詢應(yīng)用服務(wù)信息，查詢方式采用模糊查詢，顯示應(yīng)用列表如圖所示7.4.3啟用、暫停、刪除應(yīng)7.4.3啟用、暫停、刪除應(yīng)啟用應(yīng)暫停應(yīng)刪除應(yīng)7.4.4生成刪除應(yīng)7.4.4生成更新證 用戶管 用戶管只有具有Opera 角色權(quán)限的管理員可以在用戶管理中進行相關(guān)操作管理員只管理自己所屬區(qū)域以及子區(qū)域管理自己所屬區(qū)域以及子區(qū)域下的令牌。當(dāng)用戶帳號綁定令牌后，用戶帳號所屬區(qū)域根據(jù)綁定的令牌而定7.5.1新建用點擊“用戶管理”>“新建用戶進入用戶管理中的新建用戶頁面，如圖所示，輸入注：令牌必須為未分配狀態(tài)7.5.2批量導(dǎo)入用點擊“用戶管理”>“批量導(dǎo)入進入批量導(dǎo)入用戶頁面，如圖所示，可下載導(dǎo)用戶可將基本信息輸用戶可將基本信息輸入樣例文件中，導(dǎo)入到系統(tǒng)中，基本信息包括：用戶名、密碼、用戶綁定的令牌號、用戶真實姓名、手機號碼、和郵箱地址其中用戶名必須是中文，數(shù)字，下劃線2-20位組成；密碼必須是數(shù)字，字母組成的6-7.5.3用戶列表查點擊“用戶管理”>“用戶列表查詢可根據(jù)用戶名和用戶所屬組織機構(gòu)查詢顯示系中用戶列表，如圖所示，采取分頁顯示方式，每頁顯示20條記錄方便管理員查看7.5.4查看用戶個人信7.5.4查看用戶個人信在用戶列表查詢頁面，點擊需要查看用戶個人信息的用戶名鏈接，顯示該用戶個人信頁面，如圖所示。用戶可以自己在自助管理系統(tǒng)中修改密碼。7.5.5修改個人信管理員可以為系統(tǒng)用戶補全用戶信息資料，在用戶信息頁面，點擊“修改信息”鏈接進入用戶信息修改頁面，進入用戶信息修改頁面，如圖所示，修改用戶的真實姓名、性別、生日、證件、手機電話、mail、固定電話、MSN、QQ等基本信息7.5.6刪除用管理員可以刪除用戶帳號，如果用戶帳號已與令牌綁定，刪除后的令牌可重新分配，除用戶，系統(tǒng)提示用戶帳號下的應(yīng)用帳戶也將會被刪除，用戶需要謹慎操作7.5.7綁定令對于未綁定令牌的用戶帳號，管理員可以為用戶綁定未分配的令牌，未綁定令牌的用信息頁面如圖所示，點擊“狀態(tài)欄”的“未綁定”連接，進入綁定令牌頁面，輸入綁定的令序列號與動態(tài)密碼（如果未分配的令牌PIN碼策略為強制使用PIN碼，需要輸入當(dāng)時設(shè)置令牌PIN碼策略設(shè)置PIN碼的令牌在使用過程中還需要通過PIN碼身份認證7.5.8更換令對于已經(jīng)7.5.8更換令對于已經(jīng)綁定令牌的用戶，管理員可以選擇為用戶更換令牌，更換的令牌必須是未分的令牌在用戶信息頁面點擊“更換令牌”鏈接，進入更換令牌頁面，如圖所示，輸入要更換新令牌序列號和動態(tài)密碼，選擇處理原令牌的方式，可以是刪除原令牌；不刪除原令牌，來令牌將處于未分配狀態(tài)，可繼續(xù)使用7.5.9PIN在用戶信息頁7.5.9PIN在用戶信息頁面上，點擊“設(shè)置PIN碼”鏈接，進入設(shè)置令7.5.10臨時密當(dāng)令牌處于掛失狀態(tài)時，用戶可以使用系統(tǒng)提供的臨時密碼通過iKEY身份認證，管員可以設(shè)置臨時密碼的發(fā)送方式和臨時密碼可以使用的有效時間和次數(shù)E-方式，注：手機E-E-方式，注：手機E-是用戶提供的個人信息中填寫的短信網(wǎng)關(guān)發(fā)送令牌口iKEY管理系統(tǒng)支持從短信網(wǎng)關(guān)發(fā)送令牌口令，通過系統(tǒng)配置（具體配置可查看《管理系統(tǒng)安裝手冊》中的短信網(wǎng)關(guān)配置7.5.12用戶應(yīng)用帳戶列7.5.12用戶應(yīng)用帳戶列用戶通過應(yīng)用帳戶來進行身份認證。具體信息可參照“5.7帳戶管理”。在用戶信息頁面，點擊“帳戶列表”鏈接，顯示用戶應(yīng)用帳戶列表頁面，也可以根據(jù)用名稱和帳戶名稱查詢應(yīng)用帳戶信息暫停應(yīng)用在應(yīng)用帳戶列表頁面在應(yīng)用帳戶列表頁面中，管理員可以停用用戶應(yīng)用帳戶，停用的應(yīng)用帳戶將無法進iKEY身份認證啟用應(yīng)用管理員也可以對處于停用狀態(tài)的應(yīng)用帳戶進行啟用操作，啟用的應(yīng)用帳戶可以繼續(xù)進iKEY身份認證 帳戶管 帳戶管只有具有OperaAdmin角色權(quán)限的管理員可以在帳戶管理中進行相關(guān)操7.6.1添加為iKEY管理系統(tǒng)添加組，點擊“組管理”>“添加組進入添加組頁面，如圖所示7.6.2添加帳7.6.3帳戶列表查管理員可7.6.3帳戶列表查管理員可以根據(jù)用戶名、令牌序列號、應(yīng)用名稱和帳戶名稱查詢出用戶應(yīng)用帳戶列表帳戶列表以分頁形式顯示，每在帳戶列表中，管理員可以對用戶應(yīng)用帳戶暫停和啟用，暫停的應(yīng)用帳戶將無法在應(yīng)中進行身份認證除”鏈接，系統(tǒng)提示框“確定刪除？”點擊確定，刪除應(yīng)用帳戶可以為應(yīng)用帳戶加入組和可以為應(yīng)用帳戶加入組和退出組操作，管理員可根據(jù)各個應(yīng)用組中的應(yīng)用帳戶有效的理在帳戶列表中對于未加入組的應(yīng)用帳戶，點擊“加入組”鏈接，顯示加入組頁面，選加入的組名，如圖所示7.6.4查看組信管理員可以查看系統(tǒng)內(nèi)組信息列表，點擊“帳戶管理”>“組列表進入組信息列表面，如圖所示點擊每個組的組名鏈接可查看每個組中應(yīng)用帳戶列表信息的信息，如圖所示7.6.5組策略設(shè)7.6.5組策略設(shè)周期時間設(shè)置周：選擇每周的時間段（例如：周一到周日，選擇時間（精確到秒）周期時間設(shè)置周：選擇每周的時間段（例如：周一到周日，選擇時間（精確到秒）每周這個時間段內(nèi)正每周這個時間段內(nèi)正常認證；選擇禁止認證說明組內(nèi)應(yīng)用帳戶在每周個時間段內(nèi)無法正常認證，時間段以外的時間可正常認證。周期時間設(shè)置月：選擇每月的時間段（例如：2號到20號選擇時間（精確到秒）以是允許認證或者是禁止認證（選擇允許認證說明組內(nèi)應(yīng)用帳戶只能每月這個時間段內(nèi)正常認證；選擇禁止認證說明組內(nèi)應(yīng)用帳戶在每月個時間段內(nèi)無法正常認證，時間段以外的時間可正常認證。7.6.6批量認證帳戶導(dǎo)批7.6.6批量認證帳戶導(dǎo)批量帳戶導(dǎo)入可分為兩種：從LDAP導(dǎo)入和從外部導(dǎo)入A．從外部導(dǎo)管理員可以將用戶認證帳戶信息以文件的形式導(dǎo)入到系統(tǒng)中，進入帳戶管理中的批量戶導(dǎo)入頁面，如圖所示，選擇“從外部導(dǎo)入”顯示如圖所示，可下載樣例文件，如圖所示，入文件中需要提供基本的用戶帳戶信息，包括：帳戶名、用戶名和應(yīng)用名。帳戶信息必須合標準，否則無法導(dǎo)入系統(tǒng)選擇導(dǎo)入的認證帳戶文件。將帳戶信息導(dǎo)入系統(tǒng)中，導(dǎo)入后可在帳戶列表中查詢Users用戶組中。（DN用“|”分隔）“在同步中不需要步的帳戶”形式例Users7.6.7導(dǎo)入帳戶綁5.6.6iKEY用戶帳號進行綁定，綁定后的域用戶帳戶作為用戶的應(yīng)用帳戶使用iKEY應(yīng)用身份認證。7.6.8應(yīng)用帳戶拷7.6.8應(yīng)用帳戶拷”“顯示應(yīng)用帳戶轉(zhuǎn)移頁面，如圖所示，選擇源應(yīng)用和目標應(yīng)用，將源應(yīng)用的應(yīng)用帳戶全部復(fù)為目標應(yīng)用的應(yīng)用帳戶 日志查iKEY管理系統(tǒng)的日志查詢功能，管理員可以查看用戶帳號的認證情況和管理員的操作況7.7.1認證日志查在認證日7.7.1認證日志查在認證日志中記錄著iKEY令牌用戶使用認證帳戶在各應(yīng)用中認證的結(jié)果，管理員可查詢一段時間內(nèi)，選擇查詢的類型：可以是用戶的令牌用戶名或者是令牌序列號，也可以認證的帳戶名，輸入相應(yīng)的查詢關(guān)鍵字，選擇查詢的認證結(jié)果過濾，查詢相應(yīng)的認證信息如圖所示只有具OperaAdmin