Мультифакторная аутентификация - это метод идентификации пользователя, где используются два или более различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа.
UserGate поддерживает мультифакторную аутентификацию с использованием имени пользователя и пароля в качестве первого типа аутентификации и следующих типов в качестве второго:
-
TOTP (Time-based One Time Password) токена в качестве второго. TOTP-токен создает одноразовый пароль на основе времени, то есть время является параметром; более подробно о TOTP можно прочитать в https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm. В качестве TOTP-токена могут выступать различные устройства либо программное обеспечение, установленное на смартфоны пользователей, например, Google Authenticator.
-
SMS - получение одноразового пароля по SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.
-
Email - получение одноразового пароля по электронной почте. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.
Чтобы настроить мультифакторную аутентификацию, необходимо выполнить следующие действия:
Наименование |
Описание |
---|---|
Шаг 1. Настроить авторизацию с помощью Captive-портала. |
Мультифакторная аутентификация работает только при авторизации пользователей с помощью Captive-портала. Смотрите соответствующий раздел для подробной информации. |
Шаг 2. Создать профиль MFA. |
В разделе консоли Пользователи и устройства --> Профили MFA создать профиль мультифакторной аутентификации. При создании профиля указать необходимые настройки доставки второго фактора аутентификации. Возможно создать 3 типа доставки:
|
Для способа доставки MFA через TOTP необходимо указать следующие параметры:
Наименование |
Описание |
---|---|
Название |
Название профиля MFA. |
Описание |
Описание профиля MFA. |
Инициализация TOTP |
Для получения токенов TOTP необходимо произвести первоначальную инициализацию устройства или ПО клиента. Для этого требуется ввести уникальный ключ в устройство или ПО клиента. Передать первоначальный код для инициализации TOTP можно следующими средствами:
|
Показывать QR -код |
Показывать QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента. |
В случае, если пользователь утратил токен, администратор может потребовать повторной инициализации TOTP-токена. Для этого ему необходимо выбрать данного пользователя в списке пользователей (Пользователи и устройства --> Пользователи) и выбрать действие Сбросить ключ TOTP. При следующей авторизации пользователю будет предложено заново проинициализировать свой токен.
Для способа доставки MFA через SMS необходимо указать следующие параметры:
Наименование |
Описание |
---|---|
Название |
Название профиля MFA. |
Описание |
Описание профиля MFA. |
Профиль отправки MFA |
Профиль SMPP, который будет использован для отправки паролей с помощью сообщений SMS. Подробно о настройке профилей отсылки сообщений через SMS смотрите в разделе Профили оповещений. |
От |
Указать, от имени кого будут отправляться оповещения. |
Содержимое |
Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. |
Время жизни MFA кода |
Срок действия одноразового пароля. |
Для способа доставки MFA через email необходимо указать следующие параметры:
Наименование |
Описание |
---|---|
Название |
Название профиля MFA. |
Описание |
Описание профиля MFA. |
Профиль отправки MFA |
Профиль SMTP, который будет использован для отправки паролей с помощью сообщений электронной почты. Подробно о настройке профилей отсылки сообщений по электронной почте смотрите в разделе Профили оповещений. |
От |
Указать, от имени кого будут отправляться оповещения. |
Тема |
Тема оповещения. |
Содержимое |
Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. |
Время жизни MFA кода |
Срок действия одноразового пароля. |