安全信息
安全页面为您的 Crowdin 企业版组织提供了各种安全和身份验证设置。 您可以设置人们如何加入您的组织、可以使用哪些身份验证方式登录,以及管理 API 令牌和会话策略。
要配置安全设置,请执行以下步骤:
- 单击右上角的个人资料照片,然后选择 组织设置。
- 切换到左侧边栏中的安全部分。
配置高级安全设置,例如允许注册、管理员管理的邀请、双重身份验证、设备验证、个人令牌创建和有效期、会话超时以及 IP 允许列表。
选择人们是否可在未事先通过电子邮件或可共享链接发出邀请的情况下加入组织。 注册后,管理员和项目管理员将可以管理组织成员的权限。
将邀请新成员加入组织的权限限制为仅限管理员。 启用此选项后,项目经理仍可邀请已是组织成员的用户加入其项目,但无法向组织添加新用户。
当您希望对谁能加入组织保持更严格的控制时,此选项非常有用,尤其适用于受监管的环境或通过少数管理员集中管理访问权限的场景。
定义用户密码的复杂性要求,以确保账户安全。 设置最低级别(例如中等)后,所有组织成员必须确保其密码符合指定标准才能保持访问权限。 这有助于防止使用弱密码或易于猜测的凭据,从而保护用户账户和组织数据。
Read more about Password Strength Levels.
双重身份验证可确保为您的 Crowdin 企业版组织提供更高级别的安全性。 启用后,将要求所有组织成员为其账户设置双重身份验证。 就这点来说,在每次登录时,组织成员将使用用户名和密码以及身份验证代码。
要求使用硬件设备进行用户身份验证。 Enabling this option restricts the use of software-based methods like verification codes from authenticator apps, providing a higher level of protection against phishing attacks.
禁用用户通过登录页面自助请求双重身份验证重置的选项。 启用后,无法访问其 2FA 设备的用户将无法自行发起重置请求。 管理员必须手动验证用户身份并重置 2FA 设置。
当用户从新设备登录时,添加额外的安全步骤。 启用后,Crowdin 企业版将在授予对您组织的访问权限之前,要求通过电子邮件进行设备验证。 这有助于确保即使登录凭据遭到泄露,也只有授权用户才能访问您的组织。
设备验证在以下情况下触发:
- 用户从未识别的设备登录。
- 用户清除了浏览器 Cookie 或切换了浏览器。
以下情况下可绕过设备验证:
- 用户账户已启用并配置了双重身份验证 (2FA)。 在这种情况下,由于 2FA 已提供强身份验证,设备验证将不会强制执行。
- 您的组织通过自有身份提供商使用外部身份验证,不依赖电子邮件验证。
启用此选项,允许组织成员生成自己的个人访问令牌,用于 API 身份验证。 禁用后,成员将无法创建新令牌。
设置新令牌的最长有效天数。 此策略仅适用于保存设置后创建的令牌,不影响之前已创建的令牌。 您可以设置具体的天数(1 至 365 天),或选择永不过期。
在成员处于非活动状态达到所选时长后,自动将其注销。
- 20 分钟:最短超时时间。 登录页面上将不提供记住我选项。
- 8 小时、24 小时、7 天、30 天:对于登录时勾选了记住我的用户,系统将在该非活动时长后将其注销。
配置会话持续时间的绝对时间限制。 Unlike Idle Session Timeout, which resets when the user is active, this setting requires re-authentication after the specified duration, regardless of activity.
- 禁用:会话没有固定的过期时间(默认)。
- 24 小时、7 天、30 天:用户在此特定时长后将被要求重新验证身份。
仅允许来自已许可 IP 地址的连接访问您的 Crowdin 企业版组织。
通过此功能,您可以指定可以访问您的 Crowdin 企业版组织的 IP 地址列表。 例如,您可以使用 IP 允许列表仅向来自公司网络的连接授予访问权限,同时阻止来自不属于您的 IP 允许列表的 IP 地址的所有其他连接。 启用 IP 允许列表后,Crowdin 企业版开始通过 UI 和 API 过滤所有连接。
要开始使用 IP 允许列表,请首先使用 CIDR 表示法整理应有权访问您的组织的 IP 地址和范围列表。
详细了解 CIDR 表示法。
IP 允许列表可以包含无限数量的 IP 地址和范围,这些地址和范围可以通过 UI 和 API 访问您的 Crowdin 企业版组织。
收集完应添加到 IP 允许列表中的所有 IP 地址和范围后,请联系支持团队为您的组织启用 IP 允许列表。 如果您需要编辑或删除 IP 允许列表中的某些记录,请联系支持团队并提出相应的请求。
身份验证方式部分允许您选择成员如何登录您的 Crowdin 企业版组织。 因此,人们还有时间设置其他身份验证方式。
当您重新启用某些之前已禁用的身份验证方式时,它们将立即可供组织成员使用。
- 电子邮件/用户名和密码 – 成员可以使用其电子邮件或 Crowdin 企业版用户名以及密码登录。
- Passkey – 成员可以使用安全通行密钥登录,享受无密码身份验证体验并增强账户保护。
- Magic Link – 成员可以请求一个一次性的身份验证链接,该链接将发送到他们的电子邮件中。
- Crowdin – 成员可以使用其 Crowdin 账户登录。
- Facebook – 成员可以使用其 Facebook 账户登录。
- GitHub – 成员可以使用其 GitHub 账户登录。
- GitLab – 成员可以使用其 GitLab 账户登录。
- Google – 成员可以使用其 Google 账户登录。
- X – 成员可以使用其 X 账户登录。
- Open ID Connect – 成员可以使用其 Open ID 账户登录。
- SAML – 成员可以使用其 IDP 账户登录。
Facebook、GitHub、GitLab、Google 和 X SSO 允许您使用默认预配置的 Crowdin 企业版全局身份验证应用,或者您可以设置自己的自定义身份验证应用。
要配置您的自定义身份验证应用,请执行以下步骤:
- 单击右上角的个人资料照片,然后选择 组织设置。
- 切换到左侧边栏中的安全部分。
- 向下滚动到身份验证方式部分,然后单击您要为其设置自定义身份验证应用的 SSO。
- 选择自定义身份验证应用,粘贴您的自定义身份验证应用中的凭据,然后单击保存。
- 从身份验证设置页面复制 重定向 URL,并将其粘贴到您的自定义身份验证应用设置中。
Similar configuration flow is also applicable to the OpenID Connect authentication method.