两步验证

​

介绍

企业后台包含着大量用户敏感信息，两步验证能够为 Dify 企业版系统管理员的账号提供更加深入的安全保障。启用功能后，即使原始的密码意外泄露，仍能避免未经授权的访问操作，确保系统管理员账户和企业后台的数据安全。

该机制要求用户在输入正确的密码后，再输入身份验证器应用生成的实时验证码才能完成登录。这种”双因素”验证显著提高了账户安全性。

​

实施前提

在配置两步验证前，请确保满足以下条件：

1. 系统管理员权限 - 仅系统管理员可配置两步验证。
2. 身份验证器应用 - 在移动设备上安装兼容的身份验证器应用。

​

开启两步验证

开启团队内全局两步验证前，需确保已配置个人账号内的两步验证。

​

个人账号

配置个人两步验证的步骤：

如无法扫描二维码，请悬停在 Setup Key 上查看密钥文本。将其输入至身份验证器内生成六位验证码，填写此验证码到验证框中。

启用两步验证后，将同步生成备用码。为避免装有身份验证器的设备丢失而造成无法获取在线验证码，建议手抄或打印备用码至安全的地方。

备用码的效力为一次性，已使用的备用码将会失效。如需更多备用码，请点击”重新生成”。

​

企业全局

所有系统管理员均具备开启企业全局两步验证的权限；开启个人两步验证后才允许开启团队全局验证。

前往 设置 → 身份认证 开启企业全局两步验证。开启后，每位系统管理员登录企业版管理后台时，将会被要求提供额外的验证码。若有系统管理员尚未设置两步验证，请参考常见问题。

​

修改两步验证

访问企业版管理后台，点击 “两步验证”，点击身份验证器右侧菜单选项中的 “编辑” 按钮。在弹出的验证页面中，输入身份验证器显示的新六位验证码以确认身份，完成修改。

​

关闭两步验证

​

个人账号

若企业后台已开启全局强制两步验证，则无法关闭个人账号的两步验证。

访问企业版管理后台，点击 “两步验证” → “停用两步验证”。

​

企业全局

访问企业版管理后台，点击 “设置” → “身份认证” 关闭两步验证按钮。

​

常见问题

​

我遗失了带有身份验证器的设备，应该如何登录？

如果你忘记或丢失了原设备，使用以下方法进行登录：

1. 使用备用码登录：登录页面上选择”使用备用码”选项，输入之前保存的备用码。请注意，每个备用码只能使用一次。
2. 联系其他系统管理员：如果你没有备用码，请联系团队中的其他系统管理员，请求临时访问权限或协助重置两步验证设置。

​

两步验证码输入正确但系统提示错误，如何解决？

验证码错误通常有以下原因：

1. 时间不同步：身份验证器基于时间生成验证码，确保你的设备时间与标准时间同步。大多数智能手机会自动同步时间，但如果你关闭了自动同步，请在设备设置中开启。
2. 验证码过期：身份验证器验证码通常每 30 秒更新一次。如果你在验证码即将过期时输入，可能会失效。请等待新的验证码生成后再尝试。
3. 设备与账号不匹配：确认你正在使用正确的身份验证器和正确的账号生成验证码。

​

更换手机后如何迁移身份验证器？

有两种方法可以迁移应用程序：

1. 使用应用内迁移功能：部分身份验证器（如 Google Authenticator 最新版本）提供账号导出/导入功能，可以通过此功能将验证器信息迁移到新设备。
2. 重新设置两步验证：
   • 使用备用码登录系统。
   • 参考修改两步验证， 前往个人两步验证设置页面，点击”编辑”。
   • 使用新设备生成的验证码完成验证。

​

全局强制启用两步验证后，未启用个人账号两步验证的管理员如何登录？

当全局强制启用两步验证后，未启用两步验证的管理员的登录流程为：

1. 新管理员使用邮箱和密码（或 SSO）登录系统。
2. 系统会自动检测到该管理员未配置两步验证，并在企业版登录页提供两步验证操作指引。
3. 新管理员需下载身份验证器应用，并按照页面提示完成两步验证设置。
4. 设置完成后，输入六位验证码后将允许新管理员继续登录企业后台。

​

企业使用 SSO 登录，是否还需要两步验证？

是的，即使你的企业使用 SSO（单点登录）系统，仍然建议启用两步验证。这提供了双重保障：

1. SSO 确保用户身份在企业应用间的统一认证
2. 两步验证为企业后台提供额外的安全层级，防止 SSO 凭证被盗用时的未授权访问

这种多层安全策略（又称”深度防御”）是企业信息安全的最佳实践。