Многофакторная аутентификация (MFA) — это метод идентификации и аутентификации пользователя, где используются два или более различных типа идентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа.

UserGate SWG поддерживает многофакторную аутентификацию с использованием имени пользователя и пароля в качестве первого типа аутентификации, одноразового токена или пароля — в качестве второго. Доступны следующие методы получение одноразовых токенов или паролей:

TOTP (Time-based One Time Password) — получение одноразового токена. TOTP-токен создает одноразовый пароль на основе времени, то есть время является параметром. В качестве TOTP-токена могут выступать различные устройства либо программное обеспечение, установленное на смартфоны пользователей, например Google Authenticator.
SMS — получение одноразового пароля по SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в UserGate SWG или в доменной учетной записи в Active Directory.
Email — получение одноразового пароля по электронной почте. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в SWG или в доменной учетной записи в Active Directory.

Чтобы настроить многофакторную аутентификацию:

1. Настройте аутентификацию с помощью Captive-портала. Многофакторная аутентификация работает только при аутентификации пользователей с помощью Captive-портала. Подробнее о Captive-портале — в разделе «Настройка Captive-портала».

2. Создайте профиль многофакторной аутентификации. В веб-консоли UserGate SWG перейдите в раздел Настройки ➜ Пользователи и устройства ➜ Профили MFA создайте профиль многофакторной аутентификации. При создании профиля укажите метод доставки второго фактора аутентификации. Доступны три метода доставки:

MFA через TOTP — доставка второго фактора аутентификации с помощью токенов TOTP.
MFA через SMS — доставка второго фактора аутентификации с помощью SMS.
MFA через email — доставка второго фактора аутентификации с помощью email.

Параметры для настройки метода MFA через TOTP.

Параметр	Описание
Название	Название профиля MFA.
Описание	Описание профиля MFA.
Инициализация TOTP	Для получения токенов TOTP необходимо произвести первоначальную инициализацию устройства или ПО клиента. Для этого требуется ввести уникальный ключ в устройство или ПО клиента. Передать первоначальный код для инициализации TOTP можно следующими средствами: Показать на странице Captive-портала после первой успешной аутентификации. Для этого варианта выберите Показать ключ на странице Captive-портала. Выслать с помощью SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в UserGate SWG или в доменной учетной записи в Active Directory. Для этого варианта выберите подходящий, созданный ранее профиль отсылки SMS (профиль SMPP). Выслать с помощью email Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate SWG или в доменной учетной записи в Active Directory. Для этого варианта выберите подходящий, созданный ранее профиль отсылки email (профиль SMTP)
Показывать QR -код	Показывать QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента

В случае, если пользователь утратил токен, администратор может потребовать повторной инициализации TOTP-токена. Для этого ему необходимо выбрать пользователя в списке (Настройка ➜ Пользователи и устройства ➜ Пользователи) и выбрать действие Сбросить ключ TOTP. При следующей аутентификации пользователю будет предложено заново инициализировать свой токен.

Параметры для настройки метода MFA через SMS.

Параметр	Описание
Название	Название профиля MFA
Описание	Описание профиля MFA
Профиль отправки MFA	Профиль SMPP, который будет использован для отправки паролей с помощью сообщений SMS. Подробнее о настройке профилей отсылки сообщений через SMS — в разделе «Профили оповещений»
От	Указать автора отправки сообщения
Содержимое	Тело сообщения. В cообщении можно использовать специальную переменную `{2fa_auth_code}`, которая будут заменена на одноразовый пароль
Время жизни MFA кода	Срок действия одноразового пароля

Параметры для настройки метода MFA через email.

Параметр	Описание
Название	Название профиля MFA
Описание	Описание профиля MFA
Профиль отправки MFA	Профиль SMTP, который будет использован для отправки паролей с помощью сообщений электронной почты. Подробнее о настройке профилей отсылки сообщений по электронной почте — в разделе «Профили оповещений»
От	Указать автора сообщения
Тема	Тема сообщения
Содержимое	Тело сообщения. В сообщении можно использовать специальную переменную `{2fa_auth_code}`, которая будут заменена на одноразовый пароль
Время жизни MFA кода	Срок действия одноразового пароля