IAM 安全策略
客户门户的身份和访问管理 (IAM) 部分的“安全”选项卡提供了管理整个组织的 IAM 安全策略的设置。
要访问 IAM 安全策略,您需要 IAM 管理员 或 Equinix 公司管理员 角色,或者具有 identity.orgsecuritypolicy.read 和 identity.orgsecuritypolicy.update 权限的自定义角色。
查看和管理安全策略:
-
登录到客户门户。
-
导航至“身份和访问管理”。
-
点击安全。
联合单点登录
联合单点登录 (Federated Single Sign-On) 支持您和您的用户使用现有的企业凭据通过“使用 SSO 登录”进行登录,无需单独注册 Equinix 多因素身份验证 (MFA)。客户门户的访问权限由您的身份提供商 (IdP) 管理,用于验证用户身份;Equinix 信任登录时的 IdP 断言。
对于大型企业,Equinix 建议使用联合 SSO 来访问客户门户。
要注册您的组织以使用联合单点登录 (Federated SSO),或管理您的联合单点登录设置:
-
在“联合单点登录”框中,单击“管理”。
这将打开自助服务联合门户,您可以在这里注册和管理您的元数据。
多因素身份验证
多重身份验证 (MFA) 为Equinix门户增添了另一层安全保障。MFA 通过额外的验证步骤提升了安全性,该步骤需要将一次性密码 (OTP) 发送至已注册的受信任设备或由其生成。
Equinix强烈建议您为您的组织启用 MFA。
启用多因素身份验证 (MFA) 后,组织内的所有用户都必须使用备用身份验证机制注册辅助身份验证方法。用户下次登录门户时需要启用 MFA,并且之后每次登录门户都必须使用一次性密码 (OTP)。
要为您的组织启用多因素身份验证:
-
在“多重身份验证”框中,单击“启用”。
-
仔细阅读信息,然后切换启用。点击提交。
启用 MFA 后,用户下次登录时会被要求注册 MFA。有关用户如何使用短信设置 MFA 的文档,请参阅启用多因素身份验证。
:::note重要的 从 2026 年 3 月起,所有(非 SSO)帐户都必须启用 MFA。启用 MFA 后,所有帐户都必须启用,并且无法在组织级别禁用。 :::
认证方法
身份验证应用
所有账户类型均支持身份验证器应用程序,并且通常比短信更安全。
短信(SMS)
短信(SMS)身份验证仅适用于拥有有效 Equinix 计费帐户的组织。
以下机构不能使用短信进行多因素身份验证:
- 审判机构。
- 账单账户被暂停的组织。
- 没有有效账单账户的组织。
这项要求遵循行业最佳实践,旨在减少滥用短信一次性密码的欺诈攻击,并保护 Equinix 的消息传递基础设施。
密码管理
为了保障贵组织用户帐户的安全,我们制定了以下密码策略。
-
账户锁定阈值 - 为防止暴力破解攻击,系统会在连续 10 次登录失败后,阻止特定 IP 地址以该用户身份登录。如需解锁账户,请在登录页面点击重置密码,并按照密码重置步骤操作。
-
密码泄露检测 - 如果您的用户名和密码组合已被泄露,Equinix 将:
- 阻止使用泄露凭证的新用户注册。
- 阻止被盗用的用户帐户,需要重置密码才能重新启用访问权限。
- 如果发生登录尝试,则向帐户所有者发送电子邮件通知。
-
密码重复使用 - 此策略防止最终用户在设置新密码时重复使用最近 24 个密码。
为了提高组织内用户帐户的安全性,您可以启用密码过期选项。
更改密码过期设置:
-
在“密码管理”框中,单击“管理”。
-
将密码过期时间设置为 90 天、180 天、1 年或永不过期。点击提交。
如果用户未在密码过期前重置密码,则下次登录时必须更改密码。
IP 允许列表
IP 允许列表允许通过仅允许用户从指定的 IP 地址登录来限制对 Equinix 门户的访问。
查看和管理您的 IP 允许列表:
-
在“IP 白名单”框中,单击“启用”。
-
切换启用,并在字段中添加 IP 地址或 IP 地址列表,然后按回车键。
-
点击提交。
如果您尝试从不在您组织允许列表中的 IP 地址访问客户门户,则会收到以下错误。
并发会话管理
控制您或您的用户同一帐户可同时登录的会话数量。默认并发会话数限制为 10。您可以将并发会话数限制设置为 1 到 20 之间的任意值,或设置为“无限制”。
管理并发会话限制:
-
在“并发会话管理”框中,单击“管理”。
-
在该字段中输入您希望允许的并发会话数,或勾选“无限制”复选框。点击“提交”。
