ikey 3 0双因素动态口令身份认证系统管理员操作指南

〖手册目标〖阅读对象〖手册构成第1第2第3〖手册目标〖阅读对象〖手册构成第1第2第3第4第5第6第7第8第9〖手册约定目录12管理系统简 系统支 运行环 3软件环 硬目录12管理系统简 系统支 运行环 3软件环 硬件环 4系统安 管理界面介 5登录界 系统登录主界 6使用指 查看管理员信 系统导入令 令牌管理操 应用管 用户管 帐户管 日志管 7功能说 管理员自 管理员信息查 修改静态密 绑定令 管理员管 组织管理列 管理员角色列 区域管理员列 待审核角色列 令牌管 令牌导 令牌信息查 令牌开户、销 令牌挂失、解 令牌冻结、解 令牌锁定与解 认证时间设 设置令牌认证次 设置令牌所属区 令牌删 令牌PIN码策 令牌认 令牌校 应用管 创建应 查询应用列 启用、暂停、删除应创建应 查询应用列 启用、暂停、删除应 生成更新证 用户管 新建用 批量导入用 用户列表查 查看用户个人信 修改个人信 删除用 绑定令 更换令 PIN码设 临时密 短信网关发送令牌口 用户应用帐户列 帐户管 添加 添加帐 帐户列表查 查看组信 组策略设 批量认证帐户导 导入帐户绑 应用帐户拷 日志查 认证日志查 管理日志查 用户自助功 8自助系统登录界 查看用户信 修改密 帐户管 令牌校 令牌挂 令牌解 设置PIN 发送临时密 附 9 使用端口（需要防火墙开启的端口 支持与服 2统支2统支WindowsLinux3行环软件环硬件环4统安iKEY管理系统安装具体信息可参考文档《登录界登录界WEBhttps://IP/admin.login.php地址（IPiKEY-ServerIP地址）,iKEY令牌系统登录主界6用指 查看管6用指 查看管理员信iKEYadmin拥有所有角色权限，admin管理员为系统添加各管理区注：管理员权限角色功能具体信息可查看 管理员管理功能 系统导入令iKEYOpearAdmin角色的管理员在令牌管理功能中为管理系统导入iKEY令牌信息。 令牌管理操可查看管理区域内的令牌信息以及对令牌进行管理操作，具体操作可参考7.3令牌管理。 应用管7.4 用户管7.4 用户管信息以及为用户令牌进行操作，具体可参考7.5用户管理。 帐户管OperaAdmin角色权限的管理员为用户添加各应用服务中的应用帐户，方便用户在使用iKEY 日志管7能说 管理员自7.1.1管理员信息7.1.2修改静态密修7.1.2修改静态密修改管理员帐号登录密码，输入原始密码和2次新的密码，修改成功注：管理员密码必须为数字、字母、特殊符号3种以上组合才可7.1.3绑定令管理员将自己帐号与用户帐号绑定，需要用户帐号和绑定帐号的令牌动态口令注：用户帐号必须已经绑定令牌绑定后的管理员帐号登录管理系统时需要输入绑定用户令牌的动态密码通过身份认证录方式。在页面上直接点击“解除绑定”即可 管理员管只有具有RootAdmin角色的管理员可以在管理员管理中进行相关操作7.2.1组织管理列在管理员管理中，管理员查看个管理区域的组织结构，只能查看自己所属区域和该区的子区域的结构，并且可以为自己权限下的区域添加子区域和子管理员点开管理员管理>组织管理列表添加子区为整个管理系统划分区域，划分区域的结构按树形分层例如：在当前base区域下，选择添加子区域，输入子区域名和区域描述，点击“确定添加成功修改区域只有具修改区域只有具有OrganAdmin角色的管理员可以为系统添加子区域和修改区域设置添加区域管理注：只注：只有具有RootAdmin角色的管理员可以为系统添加子区域7.2.2管理员角色AppAdmin：应用管理员，只能管理应用服务信息。AppAdmin：应用管理员，只能管理应用服务信息。OrganAdmin：机构管理员，只能管理组织区域。点击“管理员管理”>“管理员角色列表显示本管理员角色信息，如图所示7.2.3区域管理员注：只有具有RootAdmin角色的管理员可以对区域管理员进行管理操作删除区域删除区域修改管理修改管理在区域修改管理在区域管理员列表页面中，选择需要修改管理员密码的区域管理员，点击“管理员名设置管理在区域管理员列表页面中，选择需要查看修改角色的区域管理员，点击“管理员名”接，系统弹出菜单框，点击“角色列表”，进入管理员角色列表页面，如图所示置角色”链接，显示设置角色页面，如图所示，只有设置了角色的管理员才可以在iKEY管系统中各功能中进行管理操作注：修改了角色信息的管理员还需要系统审核管理员进行审核角色功能，只有通过审后的角色功能才能生效。具体操作可参见“5.2.4待审核角色列表”冻结、解冻管在区域管理员列表页面中，选择需要冻结的区域管理员，点击“管理员名”链接，系弹出菜单框，点击“冻结”，冻结管理员，冻结的管理员无法登iKEY管理系统7.2.4待审核角色7.2.4待审核角色只有具有RoleCheckAdmin角色权限的管理员可以审核管理员角色权限7.3令牌管7.3令牌管只有具有OperaAdmin角色的管理员可以在令牌管理中进行相关操作7.3.1令牌导点击“令牌管理”>“令牌导入页面显示如图所示，选择导入令牌信息的文件，输7.3.2令牌信息查点击“7.3.2令牌信息查点击“令牌管理”>“令牌列表查询显示页面。可根据令牌序列号、令牌状态和令所属区域查询显示导入系统的令牌信息列表，查询方式采用模糊查询，如图所示，采取分显示方式，每页显示20条记录方便管理员查看注：管理员只能查询当前区域以及管理范围内的子区域中的令牌7.3.3令牌开户、管理员可以为令牌开通用户，用户帐号与令牌绑定在令牌信息列表页面上点击未分配状态的令牌链接，显示令牌信息页面如图所示，点令牌开户，输入用户名（新建用户名必须是中文、英文、数字、下划线4-20位组成）密码对于已经绑定用户对于已经绑定用户帐号的令牌，管理员可以进行销户操作，解除令牌与用户的绑定，户的令牌可以重新分配。消除的用户帐号将从系统中被删除牌与用户的绑定关系7.3.4令牌挂失、iKEY7.3.4令牌挂失、iKEY身份认证，挂失后用户可以使用临时口令进行身份认证（临时口令设置与发送详细请参考4.5.14。注：未开通用户的令牌无法进行挂失操作7.3.5令牌冻结、7.3.5令牌冻结、注：未开通用户的令牌无法进行冻结操作7.3.6令牌锁定与7.3.6令牌锁定与用户（可在ikey_auth_check.ini配置文件中设置。7.3.7认证时间设7.3.8设置令牌认证次7.3.9设置令牌所属区7.3.9设置令牌所属区管理员可以为令牌设置所属区域，方便区域管理员对自己区域下的令牌进行管理。管员只能将令牌分配到自己的子区域进行管理管理员可以在令牌信息页面上点击“组织结构设置”按钮，弹出设置界面，选择所属域，为令牌设置区域7.3.10令牌删进入需要删除7.3.10令牌删进入需要删除的令牌信息页面，点击“删除”按钮，弹出提示框“确定要删除？”点确定，永久删除该令牌7.3.11PIN策对于绑定了用户帐号的令牌，可以为用户设PIN码，使得用户在使用iKEY身份认应用时更加安全可靠。具体实现可参见本手册5.6.7“用户管理功能中PIN码设置禁止使PIN码：用户不能为令牌设置PIN码。7.3.12令牌认注：未绑定用户的令牌无法进行有效性的认点击“令牌管理”>“令牌认证在令牌认证页面中，选择认证方式，输入相应的认其中“令牌别名”即为其中“令牌别名”即为与令牌绑定的用户名；“帐户名”即为应用帐户名PIN码的令牌在认证时，认证密码的方式是“PIN码+动态密码”7.3.13令牌校当用户令牌时间与iKEY认证服务器时间产生偏差时，将会影响iKEY身份认证，系统供手动对令牌进行校时，使令牌时间与服务器时间同步点击“用户管理”>“令牌校时在令牌校时页面，选择校时方式，帐户（用户应用 应用管iKEY 应用管iKEY身份认证的应用管理，管理员可以添加应用服务信息，并对应用进行暂停、只有具有AppAdmin角色权限的管理员可以在应用管理中进行相关操作7.4.1创建应建新的应用服务7.4.2查询应用列进入应用列表查询页面，查询应用服务信息，查询方式采用模糊查询，显示应用列表如图所示7.4.3启用、暂停、删除应7.4.3启用、暂停、删除应启用应暂停应删除应7.4.4生成删除应7.4.4生成更新证 用户管 用户管只有具有Opera 角色权限的管理员可以在用户管理中进行相关操作管理员只管理自己所属区域以及子区域管理自己所属区域以及子区域下的令牌。当用户帐号绑定令牌后，用户帐号所属区域根据绑定的令牌而定7.5.1新建用点击“用户管理”>“新建用户进入用户管理中的新建用户页面，如图所示，输入注：令牌必须为未分配状态7.5.2批量导入用点击“用户管理”>“批量导入进入批量导入用户页面，如图所示，可下载导用户可将基本信息输用户可将基本信息输入样例文件中，导入到系统中，基本信息包括：用户名、密码、用户绑定的令牌号、用户真实姓名、手机号码、和邮箱地址其中用户名必须是中文，数字，下划线2-20位组成；密码必须是数字，字母组成的6-7.5.3用户列表查点击“用户管理”>“用户列表查询可根据用户名和用户所属组织机构查询显示系中用户列表，如图所示，采取分页显示方式，每页显示20条记录方便管理员查看7.5.4查看用户个人信7.5.4查看用户个人信在用户列表查询页面，点击需要查看用户个人信息的用户名链接，显示该用户个人信页面，如图所示。用户可以自己在自助管理系统中修改密码。7.5.5修改个人信管理员可以为系统用户补全用户信息资料，在用户信息页面，点击“修改信息”链接进入用户信息修改页面，进入用户信息修改页面，如图所示，修改用户的真实姓名、性别、生日、证件、手机电话、mail、固定电话、MSN、QQ等基本信息7.5.6删除用管理员可以删除用户帐号，如果用户帐号已与令牌绑定，删除后的令牌可重新分配，除用户，系统提示用户帐号下的应用帐户也将会被删除，用户需要谨慎操作7.5.7绑定令对于未绑定令牌的用户帐号，管理员可以为用户绑定未分配的令牌，未绑定令牌的用信息页面如图所示，点击“状态栏”的“未绑定”连接，进入绑定令牌页面，输入绑定的令序列号与动态密码（如果未分配的令牌PIN码策略为强制使用PIN码，需要输入当时设置令牌PIN码策略设置PIN码的令牌在使用过程中还需要通过PIN码身份认证7.5.8更换令对于已经7.5.8更换令对于已经绑定令牌的用户，管理员可以选择为用户更换令牌，更换的令牌必须是未分的令牌在用户信息页面点击“更换令牌”链接，进入更换令牌页面，如图所示，输入要更换新令牌序列号和动态密码，选择处理原令牌的方式，可以是删除原令牌；不删除原令牌，来令牌将处于未分配状态，可继续使用7.5.9PIN在用户信息页7.5.9PIN在用户信息页面上，点击“设置PIN码”链接，进入设置令7.5.10临时密当令牌处于挂失状态时，用户可以使用系统提供的临时密码通过iKEY身份认证，管员可以设置临时密码的发送方式和临时密码可以使用的有效时间和次数E-方式，注：手机E-E-方式，注：手机E-是用户提供的个人信息中填写的短信网关发送令牌口iKEY管理系统支持从短信网关发送令牌口令，通过系统配置（具体配置可查看《管理系统安装手册》中的短信网关配置7.5.12用户应用帐户列7.5.12用户应用帐户列用户通过应用帐户来进行身份认证。具体信息可参照“5.7帐户管理”。在用户信息页面，点击“帐户列表”链接，显示用户应用帐户列表页面，也可以根据用名称和帐户名称查询应用帐户信息暂停应用在应用帐户列表页面在应用帐户列表页面中，管理员可以停用用户应用帐户，停用的应用帐户将无法进iKEY身份认证启用应用管理员也可以对处于停用状态的应用帐户进行启用操作，启用的应用帐户可以继续进iKEY身份认证 帐户管 帐户管只有具有OperaAdmin角色权限的管理员可以在帐户管理中进行相关操7.6.1添加为iKEY管理系统添加组，点击“组管理”>“添加组进入添加组页面，如图所示7.6.2添加帐7.6.3帐户列表查管理员可7.6.3帐户列表查管理员可以根据用户名、令牌序列号、应用名称和帐户名称查询出用户应用帐户列表帐户列表以分页形式显示，每在帐户列表中，管理员可以对用户应用帐户暂停和启用，暂停的应用帐户将无法在应中进行身份认证除”链接，系统提示框“确定删除？”点击确定，删除应用帐户可以为应用帐户加入组和可以为应用帐户加入组和退出组操作，管理员可根据各个应用组中的应用帐户有效的理在帐户列表中对于未加入组的应用帐户，点击“加入组”链接，显示加入组页面，选加入的组名，如图所示7.6.4查看组信管理员可以查看系统内组信息列表，点击“帐户管理”>“组列表进入组信息列表面，如图所示点击每个组的组名链接可查看每个组中应用帐户列表信息的信息，如图所示7.6.5组策略设7.6.5组策略设周期时间设置周：选择每周的时间段（例如：周一到周日，选择时间（精确到秒）周期时间设置周：选择每周的时间段（例如：周一到周日，选择时间（精确到秒）每周这个时间段内正每周这个时间段内正常认证；选择禁止认证说明组内应用帐户在每周个时间段内无法正常认证，时间段以外的时间可正常认证。周期时间设置月：选择每月的时间段（例如：2号到20号选择时间（精确到秒）以是允许认证或者是禁止认证（选择允许认证说明组内应用帐户只能每月这个时间段内正常认证；选择禁止认证说明组内应用帐户在每月个时间段内无法正常认证，时间段以外的时间可正常认证。7.6.6批量认证帐户导批7.6.6批量认证帐户导批量帐户导入可分为两种：从LDAP导入和从外部导入A．从外部导管理员可以将用户认证帐户信息以文件的形式导入到系统中，进入帐户管理中的批量户导入页面，如图所示，选择“从外部导入”显示如图所示，可下载样例文件，如图所示，入文件中需要提供基本的用户帐户信息，包括：帐户名、用户名和应用名。帐户信息必须合标准，否则无法导入系统选择导入的认证帐户文件。将帐户信息导入系统中，导入后可在帐户列表中查询Users用户组中。（DN用“|”分隔）“在同步中不需要步的帐户”形式例Users7.6.7导入帐户绑5.6.6iKEY用户帐号进行绑定，绑定后的域用户帐户作为用户的应用帐户使用iKEY应用身份认证。7.6.8应用帐户拷7.6.8应用帐户拷”“显示应用帐户转移页面，如图所示，选择源应用和目标应用，将源应用的应用帐户全部复为目标应用的应用帐户 日志查iKEY管理系统的日志查询功能，管理员可以查看用户帐号的认证情况和管理员的操作况7.7.1认证日志查在认证日7.7.1认证日志查在认证日志中记录着iKEY令牌用户使用认证帐户在各应用中认证的结果，管理员可查询一段时间内，选择查询的类型：可以是用户的令牌用户名或者是令牌序列号，也可以认证的帐户名，输入相应的查询关键字，选择查询的认证结果过滤，查询相应的认证信息如图所示只有具OperaAdmin