Профили MFA (мультифакторной аутентификации)

ID статьи: 98
Последнее обновление: 18 янв, 2024
Documentation:
Product: NGFW
Version: 5.x, 6.1.9, 7.0.1

Мультифакторная аутентификация — это метод идентификации и аутентификации пользователя, где используются два или более различных типа идентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа.

NGFW поддерживает мультифакторную аутентификацию с использованием имени пользователя и пароля в качестве первого типа аутентификации и следующих типов в качестве второго:

  • TOTP (Time-based One Time Password) токена в качестве второго. TOTP-токен создает одноразовый пароль на основе времени, то есть время является параметром; более подробно о TOTP можно прочитать в https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm. В качестве TOTP-токена могут выступать различные устройства либо программное обеспечение, установленное на смартфоны пользователей, например, Google Authenticator.

  • SMS — получение одноразового пароля по SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в NGFW или в доменной учетной записи в Active Directory.

  • Email — получение одноразового пароля по электронной почте. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в NGFW или в доменной учетной записи в Active Directory.

Чтобы настроить мультифакторную аутентификацию, необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Настроить авторизацию с помощью Captive-портала.

Мультифакторная авторизация работает только при авторизации пользователей с помощью Captive-портала. Смотрите раздел для подробной информации.

Шаг 2. Создать профиль мультифакторной авторизации.

В разделе консоли Пользователи и устройства ➜ Профили MFA создать профиль мультифакторной авторизации. При создании профиля указать необходимые настройки доставки второго фактора авторизации. Возможно создать 3 типа доставки:

  • MFA через TOTP — доставка второго фактора авторизации с помощью токенов TOTP.

  • MFA через SMS — доставка второго фактора авторизации с помощью SMS.

  • MFA через email — доставка второго фактора авторизации с помощью email.

Для способа доставки MFA через TOTP необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA.

Описание

Описание профиля MFA.

Инициализация TOTP

Для получения токенов TOTP необходимо произвести первоначальную инициализацию устройства или ПО клиента. Для этого требуется ввести уникальный ключ в устройство или ПО клиента. Передать первоначальный код для инициализации TOTP можно следующими средствами:

  • Показать на странице Captive-портала после первой успешной авторизации. Для этого варианта необходимо выбрать Показать ключ на странице Captive -портала.

  • Выслать с помощью SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в NGFW или в доменной учетной записи в Active Directory. Для этого варианта необходимо выбрать подходящий, созданный ранее профиль отсылки SMS (профиль SMPP).

  • Выслать с помощью email Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в NGFW или в доменной учетной записи в Active Directory. Для этого варианта необходимо выбрать подходящий, созданный ранее профиль отсылки email (профиль SMTP).

Показывать QR -код

Показывать QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента.

В случае, если пользователь утратил токен, администратор может потребовать повторной инициализации TOTP-токена. Для этого ему необходимо выбрать данного пользователя в списке пользователей (Пользователи и устройства ➜ Пользователи) и выбрать действие Сбросить ключ TOTP. При следующей авторизации пользователю будет предложено заново проинициализировать свой токен.

Для способа доставки MFA через SMS необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA.

Описание

Описание профиля MFA.

Профиль отправки MFA

Профиль SMPP, который будет использован для отправки паролей с помощью сообщений SMS. Подробно о настройке профилей отсылки сообщений через SMS смотрите в разделе Профили оповещений.

От

Указать, от имени кого будут отправляться оповещения.

Содержимое

Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль.

Время жизни MFA кода

Срок действия одноразового пароля.

Для способа доставки MFA через email необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA.

Описание

Описание профиля MFA.

Профиль отправки MFA

Профиль SMTP, который будет использован для отправки паролей с помощью сообщений электронной почты. Подробно о настройке профилей отсылки сообщений по электронной почте смотрите в разделе Профили оповещений.

От

Указать, от имени кого будут отправляться оповещения.

Тема

Тема оповещения.

Содержимое

Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль.

Время жизни MFA кода

Срок действия одноразового пароля.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 98
Последнее обновление: 18 янв, 2024
Ревизия: 3
Просмотры: 4349
Комментарии: 0
Теги

Также опубликовано в