一次性口令:包含登录账号、密码的加密信息。在协助客户排查问题,或者系统升级后协助验证等需要神策员工登录到客户环境的场景下,神策人员可通过客户授权的一次性口令访问系统,无需接触真实密码,提高安全与合规性。
版本说明
一次性口令为SBP 1.4新增功能
业务流程介绍
一次性口令业务流程
一次性口令的作业流程涉及到4个环节:
- SBP
- 线下
- BPM
- 信蜂
需要完成以下操作方可进行使用:
- 客户在SBP生成一次性口令
- 客户将一次性口令上传至信蜂系统(可联系神策对接人创建信蜂系统账号)
- 神策支持人员在BPM申请客户环境访问权限
- 客户对接人在BPM审批通过第3步中的申请
- 神策支持人员获取一次性口令,通过链接访问客户环境(无需输入账号密码)
注意:此功能仅适用于客户环境联通外网的情况
功能介绍
下面将对SBP、信蜂系统进行详细介绍
SBP配置入口
- 右上角当前登录账号》诊断工具》一次性口令
- 可以通过命令行来控制是该客户环境下是否开启该功能
- 此功能不受权限点控制,某个环境开启后,该环境下所有用户都能看到
SBP配置一次性口令
- 点击“一次性口令”后,出现创建一次性口令的弹窗:
字段名称 | 是否必填 | 详细说明 |
一次性口令账号 | 是 | 即一次性口令在登录时,以哪个账号身份登录: 如果当前登录账号是admin,那么可以选择当前项目下的所有账号 如果当前登录账号是非admin,那么系统自动为当前登录账号,且无法修改 |
开始时间 | 是 | 年月日时分秒,默认为创建一次性口令的当时时间 |
到期时间 | 是 | 年月日时分秒,默认从当时时间往后8个小时 |
系统访问地址 | 是 | 默认系统自动获取,支持手工编辑,点击小铅笔,可以进入编辑状态,编辑完后点击“保存”可生效,保存时自动将空格清除 |
合规说明 | 是 | 神策服务人员可以通过一次性口令临时登录系统,用于协助排查问题或者升级验证 |
- 点击提交时,需要进行判断:
- 必填项是否都已填写;
- 合规说明是否已经勾选;
- 到期时间不能早于开始时间;
- 如果以上判断都没问题,那么会出现创建成功弹窗;引导客户将一次性口令的二维码或token填写到信蜂系统;二维码支持下载,token支持复制和查看。信蜂系统为超链接,点击可直接在新页面打开信蜂系统的“添加一次性口令”的侧拉抽屉,并自动将token信息带过去,以提升客户的操作效率
- 注意:如果客户环境不通外网,那么点击信蜂系统时,会跳转到不通外网的提示页面
- 一个用户只能同时存在一个自己创建的一次性口令。如果当前账号已经创建了一次性口令,再次点击“一次性口令”功能时,会展示一次性口令的查看弹窗:
- 一次性口令账号
- 开始时间,年月日时分秒
- 结束时间,年月日时分秒
- 系统访问地址,
- 口令信息:二维码支持下载,token支持复制和查看
- 可以对一次性口令进行“提前终止”,操作时出现二次确认,再次确认后生效;
信蜂登录
- 登录地址:https://support.sensorsdata.cn/login
- 支持手机号和邮箱两种登录方式;建议优先使用手机号登录方式;如果客户没有国内手机号,那么可使用邮箱的登录方式
- 登录前,需要客户将要登录的手机号或邮箱给到神策服务人员,让其在BPM先进行注册;否则无法登录
- 登录时,需要填写验证码:手机号登录方式会通过短信收到验证码;邮箱登录方式会通过邮件收到验证码
注:手机号和邮箱不支持绑定,同一个自然人,在分别使用手机号和邮箱登录时,会被认为是两个用户
管理一次性口令
- 登录成功后,选择“授权信息”>“一次性口令”菜单;可以对一次性口令信息进行查看、添加、作废、编辑操作
- 在一次性口令菜单列表可以查看已经添加的,处于授权有效期内的数据
- 添加一次性口令信息:
- 点击出现侧拉抽屉,添加分为两步:第一步需要选择添加方式:二维码或者token(在SBP配置好一次性口令后都能获取这些信息),填写完成后,点击下一步
- 在点击下一步时,系统会进行校验token是否能够解析、该token对应的客户与当前登录账号所属客户是否一致、该token是否提交过;以上校验都通过后,会进入到下一步,并展示解析出来的token信息,并支持添加备注
- 用户确认解析出来的信息没问题后,点击提交,就成功地将该一次性口令录入到信蜂系统
- 如果某个一次性口令处于授权有效期,但是已经不想被神策服务人员获取到,可以点击作废操作,二次确认后,该信息被会删除,且无法再被神策人员获取到
- 因为一次性口令信息是系统自动获取,只能对备注进行编辑
SBP一次性口令登录
- 在信蜂系统配置好一次性口令信息后,神策人员会通过神策内部系统获取到登录链接后,访问该链接就可以到达客户环境的登录页面,从而无需接触客户真实的密码进行登录。
权限控制
- 此功能不受权限点控制,某个环境开启后,该环境下所有用户都能看到
- 可以通过命令行来控制是该客户环境下是否开启该功能