使用 Duo 作为多重身份验证 (MFA) 方法¶

本主题提供有关将 Duo 与多重身份验证 (MFA) 结合使用的一般信息，包括用户使用 Duo 作为 MFA 方法之前必须完成的管理任务。如果您是想将 Duo 设置为第二重身份验证因素的用户，请参阅配置第二个身份验证因素。

备注

试用账户和 Snowflake Open Catalog 账户中的用户不能使用 Duo 作为第二个身份验证因素。有关其他选项，请参阅配置第二个身份验证因素。

除安装 Duo Mobile 应用程序（支持多种智能手机平台）外，用户无需单独注册 Duo 或执行任何其他任务。有关支持的平台/设备以及 Duo 多重身份验证工作原理的更多信息，请参阅 Duo 用户指南 (http://guide.duosecurity.com/)。

先决条件¶

Duo 应用程序服务通过 TCP 端口 443 进行通信。

为确保行为一致，请更新防火墙设置，将 Duo 应用程序服务纳入 TCP 端口 443。

*.duosecurity.com:443

Copy

有关更多信息，请参阅 Duo 文档 (https://duo.com/docs/duoweb#first-steps)。

即时还原是 Duo 的一项功能，允许用户在切换到新手机之前备份 Duo 应用程序。只要 Snowflake 用户先备份旧手机，就可以使用即时还原功能在新手机上启用身份验证，而不会中断 Snowflake 的 MFA。

如果用户没有备份旧手机或丢失了旧手机，Snowflake 账户管理员必须帮助设置新的 MFA 方法。有关信息，请参阅恢复被锁定的用户。

以下是与 MFA 相关的错误代码，当用户使用 Duo 作为第二重身份验证因素时，在身份验证流程中可能会返回这些错误代码。

每次登录尝试失败时都会显示错误。历史数据也可在 Snowflake Information Schema 和 Account Usage 中找到：

Information Schema 提供过去七天内的数据，可使用 LOGIN_HISTORY、LOGIN_HISTORY_BY_USER 表函数查询。

Account Usage LOGIN_HISTORY 视图视图提供过去一年内的数据。

错误代码	错误	描述
390120	EXT_AUTHN_DENIED	Duo Security 身份验证被拒绝。
390121	EXT_AUTHN_PENDING	Duo Security 身份验证正在等待。
390122	EXT_AUTHN_NOT_ENROLLED	用户未注册 Duo Security。请联系本地系统管理员。
390123	EXT_AUTHN_LOCKED	用户已被 Duo Security 锁定。请联系本地系统管理员。
390124	EXT_AUTHN_REQUESTED	需要 Duo Security 身份验证。
390125	EXT_AUTHN_SMS_SENT	Duo Security 临时密码通过 SMS 发送。请使用密码进行身份验证。
390126	EXT_AUTHN_TIMEOUT	通过 Duo Mobile 等待登录请求批准的时间已过。如果您的移动设备没有数据服务，请生成 Duo 密码并将其输入连接字符串。
390127	EXT_AUTHN_INVALID	指定的密码不正确。
390128	EXT_AUTHN_SUCCEEDED	Duo Security 身份验证成功。
390129	EXT_AUTHN_EXCEPTION	由于与外部服务提供商的通信问题，请求无法完成。请稍后再试。
390132	EXT_AUTHN_DUO_PUSH_DISABLED	您的 MFA 未启用 Duo Push。提供密码作为连接字符串的一部分。