跳至主要内容

云身份验证

ClickHouse Cloud 提供多种身份验证方式。本指南解释了一些关于配置身份验证的最佳实践。在选择身份验证方法时,请务必与您的安全团队核实。

密码设置

我们控制台和服务(数据库)的最低密码设置目前符合 NIST 800-63B 身份验证器保证级别 1

  • 至少 12 个字符
  • 包括以下 4 项中的 3 项
    • 1 个大写字母
    • 1 个小写字母
    • 1 个数字
    • 1 个特殊字符

电子邮件 + 密码

ClickHouse Cloud 允许您使用电子邮件地址和密码进行身份验证。使用此方法时,保护 ClickHouse 帐户的最佳方法是使用强密码。许多在线资源可以帮助您想出一个易于记住的密码。或者,您可以使用随机密码生成器并将密码存储在密码管理器中,以提高安全性。

使用 Google 或 Microsoft 社交身份验证的 SSO

如果您的公司使用 Google Workspace 或 Microsoft 365,您可以在 ClickHouse Cloud 中利用当前的单点登录设置。为此,只需使用您的公司电子邮件地址注册,然后使用其公司电子邮件地址邀请其他用户。其效果是,您的用户必须使用您公司的登录流程(无论是通过您的身份提供商还是直接通过 Google 或 Microsoft 身份验证)登录,然后才能登录到 ClickHouse Cloud。

多因素身份验证

具有电子邮件 + 密码或社交身份验证的用户可以使用多因素身份验证 (MFA) 进一步保护其帐户。要设置 MFA

  1. 登录 console.clickhouse.cloud
  2. 单击 ClickHouse 徽标旁边左上角的您的姓名首字母
  3. 选择个人资料
  4. 选择左侧的安全
  5. 单击身份验证器应用程序磁贴中的设置
  6. 使用身份验证器应用程序(如 Authy、1Password 或 Google Authenticator)扫描二维码
  7. 输入代码以确认
  8. 在下一个屏幕上,复制恢复代码并将其存储在安全的地方
  9. 选中 我已经安全地记录了此代码 旁边的复选框
  10. 单击继续

帐户恢复

获取恢复代码

如果您以前注册了 MFA,但未创建或丢失了恢复代码,请按照以下步骤获取新的恢复代码

  1. 转到 https://console.clickhouse.cloud
  2. 使用您的凭据和 MFA 登录
  3. 转到左上角的个人资料
  4. 单击左侧的安全
  5. 单击身份验证器应用程序旁边的垃圾桶
  6. 单击删除身份验证器应用程序
  7. 输入您的代码并单击继续
  8. 单击身份验证器应用程序部分中的设置
  9. 扫描二维码并输入新代码
  10. 复制您的恢复代码并将其存储在安全的地方
  11. 选中 我已经安全地记录了此代码 旁边的复选框
  12. 单击继续
忘记密码

如果您忘记了密码,请按照以下步骤进行自助恢复

  1. 转到 https://console.clickhouse.cloud
  2. 输入您的电子邮件地址并单击继续
  3. 单击忘记密码?
  4. 单击发送密码重置链接
  5. 检查您的电子邮件并单击电子邮件中的重置密码
  6. 输入您的新密码,确认密码,然后单击更新密码
  7. 单击返回登录
  8. 使用您的新密码正常登录
丢失了 MFA 设备或令牌

如果您丢失了 MFA 设备或删除了令牌,请按照以下步骤恢复并创建新令牌

  1. 转到 https://console.clickhouse.cloud
  2. 输入您的凭据并单击继续
  3. 在多因素身份验证屏幕上,单击取消
  4. 单击恢复代码
  5. 输入代码并按继续
  6. 复制新恢复代码并将其存储在安全的地方
  7. 选中 我已经安全地记录了此代码 旁边的复选框,然后单击继续
  8. 登录后,转到左上角的个人资料
  9. 单击左上角的安全
  10. 单击身份验证器应用程序旁边的垃圾桶图标,以删除旧的身份验证器
  11. 单击删除身份验证器应用程序
  12. 当提示您进行多因素身份验证时,单击取消
  13. 单击恢复代码
  14. 输入您的恢复代码(这是步骤 7 中生成的新代码)并单击继续
  15. 复制新恢复代码并将其存储在安全的地方 - 这是在您在删除过程中离开屏幕时使用的安全措施
  16. 选中 我已经安全地记录了此代码 旁边的复选框,然后单击继续
  17. 按照上述步骤设置新的 MFA 因素
丢失了 MFA 和恢复代码

如果您丢失了 MFA 设备和恢复代码,或者丢失了 MFA 设备但从未获得恢复代码,请按照以下步骤请求重置

提交工单:如果您所在的组织有其他管理员用户(即使您正在尝试访问单用户组织),请要求分配了管理员角色的组织成员登录组织并提交支持工单,以代表您重置您的 MFA。在我们验证请求经过身份验证后,我们将重置您的 MFA 并通知管理员。像往常一样登录,无需 MFA,然后转到个人资料设置,如果您希望注册新的因素,请注册。

通过电子邮件重置:如果您是组织中的唯一用户,请通过电子邮件 ([email protected]) 提交支持案例,使用与您的帐户关联的电子邮件地址。在我们验证请求来自正确的电子邮件后,我们将重置您的 MFA 和密码。访问您的电子邮件以访问密码重置链接。设置新密码,然后转到个人资料设置,如果您希望注册新的因素,请注册。

SAML SSO

ClickHouse Cloud 还支持安全断言标记语言 (SAML) 单点登录 (SSO)。有关更多信息,请参见 SAML SSO 设置

数据库用户 ID + 密码

创建用户帐户 时,使用 SHA256_hash 方法来保护密码。

提示:由于权限低于管理员的用户无法设置自己的密码,请要求用户使用生成器(如 此生成器)对密码进行哈希处理,然后再将其提供给管理员进行帐户设置。密码应遵循上面列出的 要求

CREATE USER userName IDENTIFIED WITH sha256_hash BY 'hash';