这一阵在学习UMC的功能，UMC是User Management Component首字母的简写，即用户管理组件。它的主要功能是用户的中央管理，然后将这些账户导入到本地设备再分配相应的权限，例如TIA博途的上载、修改等权限。

        所有的用户账户存储于UMC的服务器中，具有管理员权限的用户可以添加和删除UMC服务器中的账户信息。具有管理员权限的用户名和密码一旦被别人猜测到，整个UMC系统将不安全，所以UMC服务器增加了两因素认证的登录方式，这样将增强用户账户的可靠性。

        Two Factors Authentication翻译为两因素认证，也可以称为两步验证，简写为2FA。这个认证方式一开始没有搞明白，后来在百度上搜索才明白，原来这个认证方式我们经常使用，就是输入用户名和密码后，再输入手机号码，通过短信再次得到一个口令才能登陆用户账户，前一次为第一步认证，后一次为第二次认证，步骤非常简单，但是不懂原理，操作起来硬是卡了好几天，下面讲一讲几天中的痛苦经历。

        在UMC的服务器中需要设置2FA登陆方式（图1）和某些用户的2FA登录方式（图2为用户AAA的登录方式）。

        为特定用户设置2FA登录后，在用户的的描述中将出现一个QR码，如图3所示。

        点击显示秘钥，是一串字符，我也不知道这是不是二次登录的口令，先复制存储起来，困惑从这里开始了。退出登录后再次登录，弹出登录界面，如图4所示。

        输入用户名和密码，这个在UMC服务器中已经设置，肯定不会搞错了，认证完成后，又弹出2次认证界面，如图5所示。

        将复制的一串字符粘贴进去，居然不识别，三次错误后，系统自动退回到初始认证界面。到底PIN码是什么呢？使用管理员账号进行登录看看是不是QR码变化了，这次居然进不去了，如图6所示。

        管理员账号怎么没有权限呢？一个问题没有解决又跳出第二个问题，我都怀疑UMC服务器有问题了，再仔细看手册吧！好几本手册结合着看，终于不知道在那本手册看到一条说明，说通过WEB UI登录UMC服务器只能验证等级为“strong”才可以，参考图1。但是设置验证等级为“Strong”后，就不能使能2FA了。现在关键的问题是进不去UMC服务器了，没有办法，恢复初始状态，，重新来一遍，再次生成UMC服务器（估计可以使用命令行，那不是还有看更多的手册和测试吗，所以就没有尝试）。再次进入QR码页面，看看是否可以扫到什么信息，使用微信扫一扫，提示没有办法识别，使用支付宝扫一扫，结果和图3的秘钥一样，就是多出了一个网址 “HTTPS://ABC/UMC-SSO(UMC:AAA)” （其实这个网址就是Google认证器需要的），这个地址也找不到呀。将支付宝扫描结果复制，再次输入的PIN码区，结果还是不行，导致的结果就是UMC服务器又进不去了，好了，再次生成UMC服务器，重新再来一遍。再仔细看手册，有点感觉了，手册说2FA需要的是一个TOTP（Time-based One-Time Password），怎样得到TOTP呢？查看命令行手册，尝试着输入命令，得到一串口令，如图7所示。

        再次将TOTP口令输入到PIN码区，还是不对，结果就是再再次生成UMC服务器，重头再来。还有一个可能，手册上说，生成的QR码要进行加密才能得到令牌（手册上是Token）。

        UMC有两个Secret Key，一个是AK，一个是SK，都试过，都不行，总之就是UMC服务器一次又一次地重新生成，这个操作简直太熟悉了。

        这样的测试持续几天，手册都翻了一遍又一遍。先看看这几天的邮件，缓一缓，有一封邮件让大家上一个内部系统，发了一个安装指导文件，打开一看是怎么安装认证系统的指导手册，认证方式不是2FA了而是MFA（Multiple factors Authentication），参考一下，估计差不多。MFA认证有两种方式，一种是通过SMS，就是短信了，另外一种就是QR码方式，需要使用Microsoft Authenticator APP，但是必须是iOS系统，我的手机是Android，安装不了。两条腿走路，一遍学习一边发邮件到总部求支持，邮件返回的结果是需要安装Microsoft  Authenticator APP，还真是和邮件的提到的一样，如果是别人估计还不知道什么是Microsoft  Authenticator APP呢，辛亏邮件有详细操作步骤（最后发现与UMC的2FA认证是一样的）。手机不能安装，没有办法在网上搜一下替代的APP，发现Google身份验证器可以安装，扫描用户账号的QR码（手机不能截屏），得到一个6位数字的PIN码，每30秒变化一下，尝试在PIN码区输入，居然可以使用了！

这次测试想说几点：

1. 当初没有使用Microsoft  Authenticator APP测试，感觉办公室设备都是联网的，之间可能有通信关系，而我的UMC服务器是离线的，没有internet连接，可能不通用，结果认证方式是相同。认证器PIN码的变化与QR码是怎么同步的没有考虑过。

2. UMC 服务器应该属于IT范畴了，OT/IT之间缺乏沟通，对IT的人员来说，对2FA可能都是编程和开发，而我们还在使用方面止步不前。

3. 用户手册倒是提一句呀！