問題
在 Access Control 中,雖然已設定在特定條件下要求 OTP(一次性密碼)驗證,但在登入外部服務連結等情況下,有時卻不會被要求輸入 OTP,這是為什麼?
回答
在 Access Control 中,即使已設定在特定條件下要求 OTP 驗證,但在驗證時 OTP 被略過,這可能是因為瀏覽器的 Cookie 產生了影響。
本文將說明會再次要求輸入 OTP 驗證的條件,以及管理員可設定的有效期限。
OTP 驗證無需再次輸入的機制
完成 OTP 驗證後,該驗證結果會儲存在瀏覽器的 Cookie 中。
即使服務的驗證要求需要 Access Control 驗證,只要在 Cookie 的有效期間內,且使用同一個瀏覽器,就不需要再次輸入 OTP。
Cookie 失效的時機
符合以下任一情況時,驗證 Cookie 會失效,並需要再次輸入 OTP。
- 未選擇「記住這次登入」進行驗證,且之後關閉瀏覽器時
- 清除瀏覽器的快取或 Cookie 時
- 存取來源的 IP 位址 發生變更時(例如:從公司內部網路切換到外部網路)
- 驗證 Cookie 的有效期限已過時
[驗證 Cookie 的有效期限]設定
管理員可於 Access Control 管理控制台的[存取原則群組]設定中,設定[驗證 Cookie 的有效期限]。
透過此設定,可以變更 OTP 驗證後所儲存 Cookie 的有效期間。
關於選擇[記住這次登入]時的行為,請參考以下文章。
[Access Control] 登入畫面的 記住這次登入 功能使用方法