集團內部員工 - 授權中心雙因子驗證

中央授權中心直接完成雙因子驗證，由用戶選擇兩種驗證方式依次驗證。

說明：
1）TOTP驗證碼驗證 與 FIDO2設備驗證 都需事先在 個人中心 進綁定。綁定需選擇其它驗證方式登入。
2）FIDO2 設備是指支持 FIDO2 協議的安全設備，如硬件設備有：USB 密鑰、NFC設備或藍牙設備。軟件設備有：微軟的PIN，以及其它系統的面部識別、指紋識別等。
3）Web人臉驗證目前尚在測試階段。

開發人員接入，使用此功能需要在標準的授權端點(Authorize Endpoint)設 login_type = 2fa。 點擊查看詳細說明。

在JWT令牌（AccessToken）搭載（payload）信息中，字段amr會記錄用戶采用了哪兩種身份驗證方式。

相關流程圖：中央授權中心（集團員工）雙因子驗證服務流程、TOTP發放流程。

集團內部員工 - 系統身份驗證+授權中心多因子驗證

集團內部員工的“系統身份驗證+授權中心多因子驗證”，是指集團系統先驗證用戶的身份之后，再提供用戶的工號讓中央授權中心再重新驗證其身份。 這是在不改變集團系統現有的登入流程，只是在完成第一步登入流程之后加上一步授權中心多因子驗證，以加強系統的安全性。

此種類型，授權中心目前提供了以下驗證方式。

• 相信掃一掃驗證
• 相信動態安全碼驗證 (怎樣獲得相信動態安全碼)
• TOTP驗證碼驗證 (怎樣獲得TOTP驗證碼)
• 手機短信驗證
• FIDO2設備驗證
• 郵箱驗證碼驗證

說明：
1）此種類型需要集團系統（接入系統、中央授權中心客戶端）提供用戶的工號并選定一種驗證方式。
2）此種類型中央授權中心不會在瀏覽器中保留用戶的驗證狀態。

開發人員接入，使用此功能需要在標準的授權端點(Authorize Endpoint)設 login_type = Mfa 、 MfaFxOtp 或 MfaScan，并指定員工工號。 點擊查看詳細說明。

相關流程圖：中央授權中心（集團員工）第二因子驗證服務流程、TOTP發放流程。

集團內部員工 - 授權中心身份驗證+系統身份驗證

集團內部員工的“授權中心身份驗證+系統身份驗證”，即：授權中心驗證員工身份，跳轉至集團系統之后，系統再次驗證用戶的身份。 此方式中央授權中心支持目前所有的驗證方式。

說明：
1）FIDO2設備登入 需事先在 個人中心 進綁定。綁定需選擇其它登入方式登入。
2）FIDO2 設備是指支持 FIDO2 協議的安全設備，如硬件設備有：USB 密鑰、NFC設備或藍牙設備。軟件設備有：微軟的PIN，以及其它系統的面部識別、指紋識別等。
3）Web人臉驗證目前尚在測試階段。
4）也可以使用“授權中心雙因子驗證”再加“（接入系統自身的）系統驗證”。

開發人員接入，OIDC授權流程完成之后，系統再做其他身份驗證。此方法中央授權中心端會保存用戶登入信息（即：中央授權中心不是每次都重新驗證用戶身份）。點擊查看詳細說明。

開發人員可考慮用此類方式，代替“系統身份驗證+授權中心多因子驗證”方式（即：login_type = Mfa）。主要區別在于此類方式有“單點登錄”功能。

相關流程圖：中央授權中心（集團員工）第一因子驗證服務流程。

集團外部用戶 - 系統身份驗證+授權中心TOTP驗證

相信TOTP

對于集團外部用戶（如：供應商），中央授權中心采用“系統身份驗證+授權中心TOTP驗證”模式，即：集團系統先驗證集團外部用戶的身份， 再請求中央授權中心進行TOTP驗證碼驗證。

集團外部用戶需使用微信掃左側二維碼，打開小程序：相信TOTP。 點擊“當前用戶身份授權”按鈕，便可獲得“TOTP驗證碼編號”及當前驗證碼。(如下圖一)

在TOTP驗證頁面(如下圖二)，您只需輸入“TOTP驗證碼編號”及當前驗證碼，即可完成驗證。

圖一

圖二

說明：
1）集團外部用戶初次TOTP驗證之后，您的TOTP驗證碼編號將與您的賬號綁定。下次驗證時只能使用同一組驗證碼。
2）在初次TOTP驗證時，點擊“TOTP驗證”后系統會要求您填寫基本資料，作為本次及以后每次登入信息的校驗。下次驗證時可選擇是否要核對基本資料。 (效果图)
3）What if WeChat cannot be used in my local area (for regions outside of China)?

開發人員接入，使用此功能需要在標準的授權端點(Authorize Endpoint)設 login_type = MyVendor ,login_hint = [clientId]:[系統賬號], 以及簽名signature值 。 點擊查看詳細說明。

相關流程圖：集團外部用戶雙因子驗證流程、TOTP發放流程。