6.6. Профили MFA (мультифакторной аутентификации)

Мультифакторная аутентификация - это метод идентификации пользователя, где используются два или более различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа.

UserGate поддерживает мультифакторную аутентификацию с использованием имени пользователя и пароля в качестве первого типа аутентификации и следующих типов в качестве второго:

  • TOTP (Time-based One Time Password) токена в качестве второго. TOTP-токен создает одноразовый пароль на основе времени, то есть время является параметром; более подробно о TOTP можно прочитать в https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm. В качестве TOTP-токена могут выступать различные устройства либо программное обеспечение, установленное на смартфоны пользователей, например, Google Authenticator.

  • SMS - получение одноразового пароля по SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.

  • Email - получение одноразового пароля по электронной почте. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.

Чтобы настроить мультифакторную аутентификацию, необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Настроить авторизацию с помощью Captive-портала.

Мультифакторная аутентификация работает только при авторизации пользователей с помощью Captive-портала. Смотрите соответствующий раздел для подробной информации.

Шаг 2. Создать профиль MFA.

В разделе консоли Пользователи и устройства --> Профили MFA создать профиль мультифакторной аутентификации. При создании профиля указать необходимые настройки доставки второго фактора аутентификации. Возможно создать 3 типа доставки:

  • MFA через TOTP - доставка второго фактора с помощью токенов TOTP.

  • MFA через SMS - доставка второго фактора с помощью SMS.

  • MFA через email - доставка второго фактора с помощью email.

Для способа доставки MFA через TOTP необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA.

Описание

Описание профиля MFA.

Инициализация TOTP

Для получения токенов TOTP необходимо произвести первоначальную инициализацию устройства или ПО клиента. Для этого требуется ввести уникальный ключ в устройство или ПО клиента. Передать первоначальный код для инициализации TOTP можно следующими средствами:

  • Показать на странице Captive-портала после первой успешной авторизации. Для этого варианта необходимо выбрать Показать ключ на странице Captive -портала.

  • Выслать с помощью SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory. Для этого варианта необходимо выбрать подходящий, созданный ранее профиль отсылки SMS (профиль SMPP).

  • Выслать с помощью email Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory. Для этого варианта необходимо выбрать подходящий, созданный ранее профиль отсылки email (профиль SMTP).

Показывать QR -код

Показывать QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента.

В случае, если пользователь утратил токен, администратор может потребовать повторной инициализации TOTP-токена. Для этого ему необходимо выбрать данного пользователя в списке пользователей (Пользователи и устройства --> Пользователи) и выбрать действие Сбросить ключ TOTP. При следующей авторизации пользователю будет предложено заново проинициализировать свой токен.

Для способа доставки MFA через SMS необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA.

Описание

Описание профиля MFA.

Профиль отправки MFA

Профиль SMPP, который будет использован для отправки паролей с помощью сообщений SMS. Подробно о настройке профилей отсылки сообщений через SMS смотрите в разделе Профили оповещений.

От

Указать, от имени кого будут отправляться оповещения.

Содержимое

Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль.

Время жизни MFA кода

Срок действия одноразового пароля.

Для способа доставки MFA через email необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA.

Описание

Описание профиля MFA.

Профиль отправки MFA

Профиль SMTP, который будет использован для отправки паролей с помощью сообщений электронной почты. Подробно о настройке профилей отсылки сообщений по электронной почте смотрите в разделе Профили оповещений.

От

Указать, от имени кого будут отправляться оповещения.

Тема

Тема оповещения.

Содержимое

Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль.

Время жизни MFA кода

Срок действия одноразового пароля.