Product: DCFW
Version: 8.x
Мультифакторная аутентификация — это метод идентификации и аутентификации пользователя, где используются два или более различных типа идентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа.
DCFW поддерживает мультифакторную аутентификацию с использованием имени пользователя и пароля в качестве первого типа аутентификации и следующих типов в качестве второго:
-
TOTP (Time-based One Time Password) токена в качестве второго. TOTP-токен создает одноразовый пароль на основе времени, то есть время является параметром; более подробно о TOTP можно прочитать в https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm. В качестве TOTP-токена могут выступать различные устройства либо программное обеспечение, установленное на смартфоны пользователей, например, Google Authenticator.
-
SMS — получение одноразового пароля по SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в DCFW или в доменной учетной записи в Active Directory.
-
Email — получение одноразового пароля по электронной почте. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в DCFW или в доменной учетной записи в Active Directory.
Чтобы настроить мультифакторную аутентификацию, необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Настроить авторизацию с помощью Captive-портала.
|
Мультифакторная авторизация работает только при авторизации пользователей с помощью Captive-портала. Смотрите раздел для подробной информации.
|
Шаг 2. Создать профиль мультифакторной авторизации.
|
В разделе консоли Пользователи и устройства ➜ Профили MFA создать профиль мультифакторной авторизации. При создании профиля указать необходимые настройки доставки второго фактора авторизации. Возможно создать 3 типа доставки:
-
MFA через TOTP — доставка второго фактора авторизации с помощью токенов TOTP.
-
MFA через SMS — доставка второго фактора авторизации с помощью SMS.
-
MFA через email — доставка второго фактора авторизации с помощью email.
|
Для способа доставки MFA через TOTP необходимо указать следующие параметры:
Наименование
|
Описание
|
Название
|
Название профиля MFA.
|
Описание
|
Описание профиля MFA.
|
Инициализация TOTP
|
Для получения токенов TOTP необходимо произвести первоначальную инициализацию устройства или ПО клиента. Для этого требуется ввести уникальный ключ в устройство или ПО клиента. Передать первоначальный код для инициализации TOTP можно следующими средствами:
-
Показать на странице Captive-портала после первой успешной авторизации. Для этого варианта необходимо выбрать Показать ключ на странице Captive -портала.
-
Выслать с помощью SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в DCFW или в доменной учетной записи в Active Directory. Для этого варианта необходимо выбрать подходящий, созданный ранее профиль отсылки SMS (профиль SMPP).
-
Выслать с помощью email Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в DCFW или в доменной учетной записи в Active Directory. Для этого варианта необходимо выбрать подходящий, созданный ранее профиль отсылки email (профиль SMTP).
|
Показывать QR -код
|
Показывать QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента.
|
В случае, если пользователь утратил токен, администратор может потребовать повторной инициализации TOTP-токена. Для этого ему необходимо выбрать данного пользователя в списке пользователей (Пользователи и устройства ➜ Пользователи) и выбрать действие Сбросить ключ TOTP. При следующей авторизации пользователю будет предложено заново проинициализировать свой токен.
Для способа доставки MFA через SMS необходимо указать следующие параметры:
Наименование
|
Описание
|
Название
|
Название профиля MFA.
|
Описание
|
Описание профиля MFA.
|
Профиль отправки MFA
|
Профиль SMPP, который будет использован для отправки паролей с помощью сообщений SMS. Подробно о настройке профилей отсылки сообщений через SMS смотрите в разделе Профили оповещений.
|
От
|
Указать, от имени кого будут отправляться оповещения.
|
Содержимое
|
Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль.
|
Время жизни MFA кода
|
Срок действия одноразового пароля.
|
Для способа доставки MFA через email необходимо указать следующие параметры:
Наименование
|
Описание
|
Название
|
Название профиля MFA.
|
Описание
|
Описание профиля MFA.
|
Профиль отправки MFA
|
Профиль SMTP, который будет использован для отправки паролей с помощью сообщений электронной почты. Подробно о настройке профилей отсылки сообщений по электронной почте смотрите в разделе Профили оповещений.
|
От
|
Указать, от имени кого будут отправляться оповещения.
|
Тема
|
Тема оповещения.
|
Содержимое
|
Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль.
|
Время жизни MFA кода
|
Срок действия одноразового пароля.
|