云身份验证
ClickHouse Cloud 提供了多种身份验证方式。本指南解释了配置身份验证的一些良好实践。在选择身份验证方法时,请务必咨询您的安全团队。
密码设置
我们控制台和服务(数据库)的最低密码设置目前符合 NIST 800-63B 身份验证器保证级别 1
- 最少 12 个字符
- 包含以下 4 项中的 3 项
- 1 个大写字母
- 1 个小写字母
- 1 个数字
- 1 个特殊字符
邮箱 + 密码
ClickHouse Cloud 允许您使用电子邮件地址和密码进行身份验证。当使用此方法时,保护您的 ClickHouse 帐户的最佳方法是使用强密码。有许多在线资源可以帮助您设计一个您可以记住的密码。或者,您可以使用随机密码生成器并将您的密码存储在密码管理器中以提高安全性。
使用 Google 或 Microsoft 社交身份验证的 SSO
如果您的公司使用 Google Workspace 或 Microsoft 365,您可以在 ClickHouse Cloud 中利用您当前单点登录设置。为此,只需使用您的公司电子邮件地址注册,并使用其他用户的公司电子邮件邀请他们。效果是您的用户必须通过您公司的登录流程(无论是通过您的身份提供商还是直接通过 Google 或 Microsoft 身份验证)登录,然后才能验证到 ClickHouse Cloud。
多因素身份验证
使用电子邮件 + 密码或社交身份验证的用户可以使用多因素身份验证 (MFA) 进一步保护其帐户。要设置 MFA
- 登录 console.clickhouse.cloud
- 单击 ClickHouse 徽标旁边左上角的首字母
- 选择 “Profile”
- 在左侧选择 “Security”
- 在 “Authenticator app” 磁贴中单击 “Set up”
- 使用身份验证器应用程序(如 Authy、1Password 或 Google Authenticator)扫描 QR 码
- 输入代码以确认
- 在下一个屏幕上,复制恢复代码并将其存储在安全的地方
- 选中
I have safely recorded this code
旁边的框 - 单击 “Continue”
账户恢复
获取恢复代码
如果您之前注册了 MFA,但没有创建或放错位置您的恢复代码,请按照以下步骤获取新的恢复代码
- 访问 https://console.clickhouse.cloud
- 使用您的凭据和 MFA 登录
- 转到左上角的个人资料
- 单击左侧的 “Security”
- 单击 “Authenticator app” 旁边的垃圾桶
- 单击 “Remove authenticator app”
- 输入您的代码并单击 “Continue”
- 在 “Authenticator app” 部分中单击 “Set up”
- 扫描 QR 码并输入新代码
- 复制您的恢复代码并将其存储在安全的地方
- 选中
I have safely recorded this code
旁边的框 - 单击 “Continue”
忘记密码
如果您忘记了密码,请按照以下步骤进行自助恢复
- 访问 https://console.clickhouse.cloud
- 输入您的电子邮件地址,然后单击 “Continue”
- 单击 “Forgot your password?”
- 单击 “Send password reset link”
- 查看您的电子邮件,然后单击电子邮件中的 “Reset password”
- 输入您的新密码,确认密码,然后单击 “Update password”
- 单击 “Back to sign in”
- 使用您的新密码正常登录
MFA 设备或令牌丢失
如果您丢失了 MFA 设备或删除了令牌,请按照以下步骤恢复并创建新令牌
- 访问 https://console.clickhouse.cloud
- 输入您的凭据,然后单击 “Continue”
- 在 “Multi-factor authentication” 屏幕上单击 “Cancel”
- 单击 “Recovery code”
- 输入代码,然后按 “Continue”
- 复制新的恢复代码并将其存储在安全的地方
- 单击
I have safely recorded this code
旁边的框,然后单击 “Continue” - 登录后,转到左上角的个人资料
- 单击左上角的 “security”
- 单击 “Authenticator app” 旁边的垃圾桶图标以删除旧的身份验证器
- 单击 “Remove authenticator app”
- 当提示您进行多因素身份验证时,单击 “Cancel”
- 单击 “Recovery code”
- 输入您的恢复代码(这是步骤 7 中生成的新代码),然后单击 “Continue”
- 复制新的恢复代码并将其存储在安全的地方 - 这是以防您在删除过程中离开屏幕的安全措施
- 单击
I have safely recorded this code
旁边的框,然后单击 “Continue” - 按照上述流程设置新的 MFA 因素
MFA 和恢复代码丢失
如果您丢失了 MFA 设备和恢复代码,或者您丢失了 MFA 设备但从未获得恢复代码,请按照以下步骤请求重置
提交工单:如果您在组织中,并且有其他管理用户,即使您尝试访问单个用户组织,也请要求您组织中被分配了管理员角色的成员登录组织并提交支持工单以代表您重置 MFA。一旦我们验证请求已通过身份验证,我们将重置您的 MFA 并通知管理员。像往常一样在没有 MFA 的情况下登录,然后转到您的个人资料设置以注册新的因素(如果您愿意)。
通过电子邮件重置:如果您是组织中唯一的用户,请通过电子邮件提交支持案例 ([email protected]) ,使用与您的帐户关联的电子邮件地址。一旦我们验证请求来自正确的电子邮件,我们将重置您的 MFA 和密码。访问您的电子邮件以访问密码重置链接。设置新密码,然后转到您的个人资料设置以注册新的因素(如果您愿意)。
SAML SSO
ClickHouse Cloud 也支持安全断言标记语言 (SAML) 单点登录 (SSO)。有关更多信息,请参阅 SAML SSO 设置。
数据库用户名 + 密码
在创建用户帐户以保护密码时,请使用 SHA256_hash 方法。
提示: 由于权限低于管理权限的用户无法设置自己的密码,请让用户在使用生成器(例如 这个)哈希他们的密码,然后再将其提供给管理员以设置帐户。密码应遵循上面列出的要求。
CREATE USER userName IDENTIFIED WITH sha256_hash BY 'hash';