Общие сведения

Способы аутентификации настраиваются в разделе Аутентификация консоли управления. Все доступные методы аутентификации отнесены либо к первому, либо ко второму фактору (второй фактор используется для «усиления» первого фактора, например, пользователю в дополнение к паролю требуется ввести специальный код, сгенерированный его мобильным приложением). Чтобы включить метод аутентификации, его нужно сначала настроить.

Настройка способов аутентификации (фрагмент)

Помимо настройки каждого метода (настройки описаны далее в подразделах), в консоли можно управлять следующими настройками:

  • перечень используемых методов аутентификации (для включения/отключения сконфигурированного метода следует установить переключатель в требуемое положение);

  • требуемый уровень аутентификации по умолчанию – например, можно указать, что по умолчанию для всех пользователей будет требоваться второй фактор; напротив, если от пользователей требуется прохождение только первого фактора, то даже при наличии настроенных методов, относящихся ко второму фактору (например, TOTP), они не будут запрошены у пользователя;

  • параметры продолжительности сессии;

  • отображаемое имя пользователя – имя пользователя, которое отображается на странице входа в случае запоминания устройства, задается в виде регулярного выражения, например: ${mail-$mobile}. Такое регулярное выражение позволяет отображать один из контактов, сохраненных в атрибутах mail или mobile (если имеются оба, то отображается mail).

Общие настройки аутентификации

Уровень аутентификации для конкретного пользователя задается в разделе Пользователи – на карточке соответствующего пользователя.

Настройка входа по логину и паролю

Для использования входа по логину и паролю необходимо задать правила соответствия – каким образом определять, как введенный логин соотносится с пользователями в хранилище данных. Для создания правила используется строка подстановки: ${login} – это строка, введенная пользователем в поле «логин». В результате, например, правило «mail=${login}» означает, что строка, введенная пользователем, будет сравниваться с атрибутом mail в хранилище данных;

Настройка входа по логину и паролю

Если заданы настройки входа по логину и паролю и отключены другие режимы входа, стандартная страница входа Blitz Identity Provider будет выглядеть следующим образом.

Стандартный вид страницы входа с включенным режимом входа по логину и паролю

Также в настройках входа по логину и пароля можно управлять защитой от перебора пароля. При включенной защите происходит замедление процесса аутентификации. В этом случае после ввода пароля пользователь будет ожидать результата в течение периода, определенного настройкой «Время задержки» (в секундах). Предусмотрена защита на уровне системы в целом (она включается, если доля неуспешных аутентификаций достигнет определенного порога, определяемого настройкой «Порог включения системной защиты») и на уровне пользователя (она включается, если пользователь вводит подряд определенное количество неверных паролей, определяемого настройкой «Порог включения пользовательской защиты»).

Администратор может выбрать следующие режимы защиты:

  • автоматический режим на уровне системы и пользователей;

  • автоматический режим на уровне пользователей;

  • задержка аутентификации для всех пользователей, т.е. защита будет включена независимо от поведения пользователей и параметров защиты.

Параметры «Порог включения системной защиты» и «Порог выключения системной защиты» задаются в процентах, соответствующих доле неуспешных аутентификаций в общем числе попыток аутентификации.

Пример настройки защиты от подбора пароля представлен ниже.

Настройка защиты от подбора пароля

Настройка входа с помощью средства электронной подписи

Настройка входа

При использовании для аутентификации средства электронной подписи необходимо предварительно загрузить в Blitz Identity Provider сертификаты удостоверяющих центров (CA), подтверждающих подлинность ключей электронной подписи пользователей.

Также необходимо настроить правила соответствия для нахождения учетной записи пользователя в хранилище по его атрибутам из сертификата. Для определения правил используются строки подстановки по аналогии с обработкой логина. Например, правило «cn=${SUBJECT.CN}» означает, что атрибут SUBJECT.CN сертификата будет сравниваться с атрибутом cn в хранилище данных. Возможно указание нескольких условий одновременно, а также указание альтернативных правил.

При конфигурировании входа по электронной подписи можно также задействовать одну из возможностей:

  • следует ли этот метод использовать в качестве первого и второго фактора. Если да, то пользователь, прошедший аутентификацию по электронной подписи, будет считаться прошедшим двухфакторную аутентификацию (пример настройки см. Рисунок 13).

  • следует ли создавать (регистрировать) учетную запись при первом входе по электронной подписи. В этом случае, если пользователь не найден по определенным правилам соответствия, то ему будет предложено зарегистрировать учетную запись. Чтобы включить эту функцию, следует отметить чекбокс «Создавать учетную запись, если пользователь не найден по сертификату электронной подписи» и настроить правила регистрации пользователя – каким образом формировать атрибуты в Blitz Identity Provider из атрибутов сертификата. Для задания правил следует использовать строки подстановки. Например, правило mail=${SUBJECT.E} означает, что в атрибут mail будет сохранена электронная почта из сертификата электронной подписи пользователя;

  • следует ли проверять действительность сертификата. В этом случае Blitz Identity Provider, используя указанную в сертификате точку распределения списка отзыва (CRL), будет проверять, не был ли сертификат отозван. Для активации этой возможности следует отметить чекбокс «Проверять, что сертификат пользователя не отозван».

Настройка входа по электронной подписи

Если заданы настройки входа и по логину и паролю, и с помощью средства электронной подписи, то стандартная страница входа Blitz Identity Provider будет выглядеть следующим образом:

Стандартный вид страницы входа с включенным режимом входа по электронной подписи и по логину и паролю

Если задать режим входа только по электронной подписи, то стандартная страница входа Blitz Identity Provider будет выглядеть следующим образом:

Стандартный вид страницы входа с включенным режимом входа только по электронной подписи

Использование и обновление плагина

Для корректной работы входа по электронной подписи на компьютерах пользователей используется специальный плагин – Blitz Smart Card Plugin. При первом входе по электронной подписи пользователю будет предложено установить плагин. После загрузки файла и его запуска пользователю следует пройти все шаги установки плагина. При повторном входе с данного устройства не потребуется устанавливать плагин заново.

Просьба установить плагин

Blitz Identity Provider поставляется вместе с версией плагина, позволяющей работать со средством электронной подписи в качестве метода аутентификации.

При необходимости обновить версию Blitz Smart Card Plugin следует заменить дистрибутивы плагина – они размещены в директории assets с установкой Blitz Identity Provider, в архиве assets.zip. Структура архива имеет следующий вид:

plugins/sc/deb/BlitzScPlugin.deb
plugins/sc/rpm/BlitzScPlugin.rpm
plugins/sc/win/BlitzScPlugin.msi
plugins/sc/mac/BlitzScPlugin.pkg
bdk_2.X.X-SNAPSHOT.jar

Иными словами, для обновления плагина необходимо распаковать архив assets.zip, заменить файлы с дистрибутивом плагина под все операционные системы и заархивировать обратно файлы в assets.zip.

Настройка входа через внешние сервисы идентификации

Возможен вход с использованием следующих внешних сервисов идентификации:

  • поставщика идентификации социальной сети Facebook;

  • поставщика идентификации социальной сети ВКонтакте;

  • поставщика идентификации Яндекс;

  • поставщика идентификации Google;

  • поставщика идентификации социальной сети Одноклассники;

  • единой системы идентификации и аутентификации (ЕСИА) сайта gosuslugi.ru;

  • поставщика идентификации Сбербанка (Сбербанк ID);

  • Blitz Identity Provider, установленного в партнерской организации.

Перечень доступных внешних сервисов идентификации зависит от редакции Blitz Identity Provider и приобретенных опций.

Подключения к внешним сервисам идентификации должны быть предварительно сконфигурированы в консоли управления в разделе «Поставщики идентификации» (см. подробнее здесь).

В разделе настроек «Вход через внешние сервисы идентификации» необходимо выбрать, какие из настроенных поставщиков идентификации должны использоваться при входе.

Включение необходимых внешних сервисов идентификации

Стандартный внешний вид страницы входа Blitz Identity Provider при включенных внешних сервисах идентификации показан ниже:

Вид страницы входа с включенными режимами входа с использованием внешних сервисов идентификации

Настройка входа с помощью прокси-аутентификации

Способ входа с использованием прокси-аутентификации доступен только в Enterprise-редакции.

Прокси-аутентификация (аутентификация с помощью прокси-сервера) относится к первому фактору, т.е. она может заменить вход по логину и паролю. Идентификация в этом случае производится по данным, передаваемым в HTTP-заголовках.

При включенной прокси-аутентификации Blitz Identity Provider производит только идентификацию пользователя, тогда как аутентификацию (в результате проверки сертификата) осуществляет прокси-сервер. Включение данного метода аутентификации допустимо в тех случаях, когда все пользователи обращаются к Blitz Identity Provider через прокси-сервер.

Для корректной работы метода необходимо указать:

  • требуемые HTTP-заголовки (перечень HTTP-заголовков, которые должны присутствовать для проведения аутентификации пользователя),

  • HTTP-заголовок с сертификатом пользователя (заголовок, в котором передается сертификат пользователя, опциональный параметр),

  • соответствие значений HTTP-заголовков и идентификационных данных пользователя, имеющихся в хранилище учетных записей.

Также возможна настройка маппинга атрибутов сертификата, передаваемого в HTTP-заголовке, и данных пользователя в хранилище.

Пример настроек входа с помощью прокси-аутентификации представлен ниже:

Настройка входа с помощью прокси-аутентификации

Настройка входа с помощью сеанса операционной системы

Способ входа с использованием сеанса операционной системы позволяет пользователям не проходить дополнительно идентификацию и аутентификацию с помощью Blitz Identity Provider, если они ранее вошли со своего ПК в сеть организации и прошли идентификацию и аутентификацию средствами операционной системы (вошли в домен). Такие пользователи получат возможность сквозной идентификации при доступе ко всем приложениям, подключенным к Blitz Identity Provider.

Для использования возможности входа с помощью сеанса операционной системы в организации должен быть развернут Kerberos-сервер (отдельно или в составе контроллера домена организации) и выполнены следующие настройки (см. описания далее):

  1. Настройки контроллера домена и Kerberos-сервера.

  2. Настройки в консоли управления Blitz Identity Provider.

  3. Настройки браузеров пользователей.

  4. Настройки запуска Blitz Identity Provider.

  5. Настройки входного балансировщика.

Настройки контроллера домена и Kerberos-сервера

В контролере домена необходимо зарегистрировать учетную запись для сервера Blitz Identity Provider. Для созданной учетной записи нужно на странице «Account» в блоке «Account options» оснастки контроллера домена включить настройки «User cannot change password» и «Password never expires».

Далее необходимо создать Service Principal Name (SPN) для идентификации сервера Blitz Identity Provider сервером Kerberos. Это выполняется с помощью следующей команды:

ktpass -princ HTTP/idp.company.ru@DOMAIN.LOC -mapuser DOMAIN\blitzidpsrv -out C:\temp\spnego_spn.keytab -mapOp set -crypto ALL -ptype KRB5_NT_PRINCIPAL /pass SecretPassword 

Параметры команды ktpass:

  • значение параметра mapuser – имя созданной в домене учетной записи сервера Blitz Identity Provider, например, DOMAIN\blitzidpsrv;

  • значение параметра princ – указывается имя SPN сервера с Blitz Identity Provider для идентификации в среде Kerberos. Это имя состоит из имени хоста сервера с Blitz Identity Provider, имени Kerberos Realm в верхнем регистре (обычно совпадает с именем домена) и используемого транспортного протокола (HTTP). Пример значения SPN – HTTP/idp.company.ru@DOMAIN.LOC. Важно, чтобы «HTTP/» в начале имени SPN указывалось именно большими буквами, как в примере.

  • параметр mapOp – если задан в значение add, то указывает, что новый SPN нужно добавить к существующим. Если задано значение set, то запись SPN должна перезаписать существующую.

  • параметр out – задает путь к генерируемому keytab-файлу. Например, C:\temp\spnego_spn.keytab;

  • параметр /pass – значение пароля от учетной записи сервера Blitz Identity Provider в домене.

  • параметры crypto и ptype задают ограничения на используемые криптоалгоритмы и тип генерируемой Kerberos-службы. Рекомендуется задать параметры как в указанном примере -crypto ALL -ptype KRB5_NT_PRINCIPAL.

Сгенерированный keytab-файл необходимо сохранить. Он будет необходим для последующей настройки в консоли управления Blitz Identity Provider.

Настройки в консоли управления Blitz Identity Provider

Необходимо перейти в консоли управления в разделе Аутентификация к настройкам способа входа «Вход по сеансу операционной системы». В открывшемся необходимо загрузить сгенерированный ранее keytab- файл – имя SPN при этом будет задано автоматически в соответствии с загруженным keytab файлом.

По результатам загрузки keytab-файла будет отображаться информация о соответствующей Kerberos-службе. При необходимости можно:

  • удалить загруженный keytab-файл;

  • загрузить еще один keytab-файл. Это может потребоваться, например, при подключении Blitz Identity Provider к нескольким контроллерам домена.

Keytab-файл успешно загружен

Далее необходимо определить параметры соответствия Kerberos-токена (TGS) и учетной записи в Blitz Identity Provider. Например, можно задать соответствие, что получаемый из Kerberos-токена идентификатор пользователя (username) должен соответствовать атрибуту sAMAccountName, получаемому из Microsoft Active Directory или Samba4 для учетной записи.

Настройка соответствия Kerberos-идентификатора пользователя и его учетной записи в хранилище

Далее необходимо установить параметры задержек при использовании метода входа с использованием сеанса операционной системы.

Blitz Identity Provider предоставляет два возможных сценария использования входа по сеансу операционной системы:

Основной сценарий. Пользователи входят в операционную систему, и после этого должны сквозным образом входить во все приложения, подключенные к Blitz Identity Provider. Предоставлять пользователям возможность войти в приложения под другой учетной записью не требуется. В этом случае нужно установить «Время задержки перед запуском метода», равное 0. При обращении к приложению сразу будет произведена попытка сквозного входа по сеансу операционной системы.

Дополнительный сценарий. Пользователи не всегда имеют возможность войти в домен операционной системы, либо пользователям в некоторых случаях необходима возможность войти в приложения под другой учетной записью чем та, что они использовали для входа в домен. В этом случае нужно установить «Время задержки перед запуском метода» в такое количество секунд, которое будет даваться пользователю для возможности отменить автоматический вход с использованием сеанса операционной системы.

Дополнительные настойки входа по сеансу ОС

Время ожидания получения токена нужно установить достаточным, чтобы Kerberos-сервер успевал предоставить ответ Blitz Identity Provider. Обычно достаточно установить 3-5 секунд.

Пример экрана входа при использовании режима входа через сеанс операционной системы

Настройки браузеров пользователей

В зависимости от используемого пользователем браузера может потребоваться его дополнительная настройка для поддержки Kerberos-идентификации.

Для Google Chrome в Windows и Apple Safari в macOS отдельная настройка не требуется.

Для Google Chrome в macOS и в Linux однократно нужно провести запуск Google Chrome специальным образом:

"/Applications/Google Chrome.app/Contents/MacOS/Google Chrome" --args --auth-server-whitelist="idp.domain.ru" --auth-negotiate-delegate-whitelist="idp.domain.ru" 

Где в качестве idp.domain.ru нужно указать URL сайта Blitz Identity Provider.

Для Microsoft Internet Explorer нужно задать следующие настройки:

  • в меню «Сервис → Свойства обозревателя → Безопасность → Местная интрасеть» нажать кнопку «Сайты». В открывшемся окне нажать кнопку «Дополнительно» и внести сайт с Blitz Identity Provider в список сайтов «Местная интрасеть».

  • в меню «Сервис → Свойства обозревателя → Безопасность → Местная интрасеть» нажать кнопку «Другой…». В открывшемся окне найти настройку «Проверка подлинности пользователя → Вход». Установить ее в значение «Автоматический вход в сеть только в зоне интрасети».

  • перезапустить браузер.

Настройки Internet Explorer для Kerberos – включение Blitz Identity Provider в ресурсы Локальной вычислительной сети

Настройки Internet Explorer для Kerberos – включение встроенной идентификации

Для Mozilla Firefox нужно задать следующие настройки:

  • в адресной строке браузера ввести about:config и нажать Enter. В следующем окне ввести «network.nego» в поле «Фильтры». Дважды нажать на найденной записи «network.negotiate-auth.trusted-uris» и установить в ней значение URL сайта с Blitz Identity Provider, например, idp.domain.ru. При указании адресов можно использовать звездочку (*) и указать несколько URL через запятую, например: https://.idp.domain.ru,http://.idp.domain.ru. Закрыть всплывающее окно кнопкой ОК.

  • дважды нажать на найденной записи «network.negotiate-auth.delegation-uris» и установить в ней значение URL сайта с Blitz Identity Provider, например, idp.domain.ru. При указании адресов можно использовать звездочку (*) и указать несколько URL через запятую, например: https://.idp.domain.ru,http://.idp.domain.ru. Закрыть всплывающее окно кнопкой ОК.

  • перезапустить браузер.

Настройки запуска Blitz Identity Provider

У некоторых пользователей могут возникнуть проблемы при входе по сеансу операционной системы, если они используют браузер Internet Explorer, и если в домене их учетная запись включена во многие группы безопасности, либо если DN учетной записи достаточно длинный. Чтобы избежать такой ситуации, необходимо при запуске сервера Blitz Identity Provider задать специальный JAVA-параметр, определяющий большой допустимый размер HTTP-заголовка. Для этого необходимо отредактировать файл /etc/default/blitz-idp – в параметр JAVA_OPTS добавить ключ:

-Dakka.http.parsing.max-header-value-length=16K

Настройки входного балансировщика

У некоторых пользователей могут возникнуть проблемы при входе по сеансу операционной системы, если они используют браузер Internet Explorer, и если в домене их учетная запись включена во многие группы безопасности, либо если DN учетной записи достаточно длинный. Чтобы избежать такой ситуации, необходимо скорректировать настройки на входном балансировщике, определяющие допустимый размер буферов заголовков.

Рекомендуемые значения буферов для nginx приведены ниже:

proxy_buffer_size 16k;
proxy_buffers 4 16k;
proxy_busy_buffers_size 16k;
client_body_buffer_size 16K;
client_header_buffer_size 16k;
client_max_body_size 8m;
large_client_header_buffers 2 16k;

Настройка входа с помощью SMS-сообщений

Blitz Identity Provider позволяет настроить использование направляемых по SMS кодов подтверждения в качестве механизма проверки:

  • первого фактора аутентификации;

  • второго фактора аутентификации.

Для использования кодов подтверждения по SMS необходимо:

  • настроить и включить этот метод аутентификации. Для корректной работы метода обязательно нужно выбрать атрибут, в котором сохранен номер мобильного телефона пользователя (будут отображены только те атрибуты, которые отмечены в разделе Источники данных как мобильный телефон). При необходимости можно изменить длину кода подтверждения, время его действия, а также количество попыток ввода кода подтверждения;

  • настроить подключение Blitz Identity Provider к SMS-шлюзу.

Следует помнить, что если у пользователя не задан номер мобильного телефона, то он не сможет использовать этот способ подтверждения входа.

Настройки входа с помощью SMS-сообщений

Настройка входа с известного устройства

Вход с известного устройства позволяет не запрашивать вход пользователя (метод первого фактора), если он ранее, в течение определенного времени, уже входил в систему с данного устройства и с использованием этого браузера. Иными словами, вход с известного устройства позволяет реализовать «долгосрочные» сессии, когда пользователь может входит без аутентификации после закрытия браузера.

Настройка метода включает в себя указание длительности запоминания устройства. Также можно установить, что при входе с запомненного устройства не будет требоваться двухфакторная аутентификация (опция «Приравнять использование этого метода к применению первого и второго фактора»). Если эта опция включена, то вход с известного устройства будет означать, что пользователь прошел двухфакторную аутентификацию.

Настройка входа с известного устройства

Двухфакторная аутентификация с помощью разового пароля на основе состояния (HOTP)

Blitz Identity Provider позволяет настроить использование HOTP-устройств в качестве средств для проверки второго фактора аутентификации (Функция доступна в качестве опции). В качестве HOTP-устройства можно использовать любой аппаратный брелок, совместимый со стандартом RFC4226 «HOTP: An HMAC-Based One-Time Password Algorithm» .

Для использования HOTP необходимо:

  • настроить и включить этот метод аутентификации;

  • загрузить в Blitz Identity Provider файл с описаниями HOTP-устройств. Файл с описаниями, как правило, предоставляет поставщик HOTP-устройств. Для загрузки файла с описанием используется раздел Устройства в консоли управления Blitz Identity Provider (см. подробнее здесь);

  • выдать пользователю HOTP-устройство и привязать его к учетной записи пользователя. Привязку можно выполнить двумя способами – либо администратор привязывает устройство по серийному номеру к учетной записи пользователя в консоли управления в разделе Пользователи, либо пользователь привязывает устройство к своей учетной записи самостоятельно с использованием веб-приложения «Профиль пользователя».

Настройки HOTP-аутентификации

Для использования разовых паролей основе секрета (HOTP) необходимо задать максимальное допустимое отклонение при проверке кода — количество последующих кодов (например, если пользователь случайно нажал кнопку генерирования нового пароля и не использовал его в процессе аутентификации), при котором аутентификация пройдет успешно. При этом при вводе пользователем правильного кода Blitz Identity Provider автоматически восстановит синхронизацию с устройством.

Если пользователь многократно будет нажимать на устройстве кнопку выработки кода и не будет использовать код для аутентификации, то устройство окажется рассинхронизированным с сервером Blitz Identity Provider. В этом случае при очередном входе пользователя в Blitz Identity Provider ему будет предложено провести процедуру сверки устройства путем ввода трех последовательно выработанных устройством кодов аутентификации. Далее в соответствии с заданной настройкой «Отклонение для синхронизации» Blitz Identity Provider проверит, встречается ли введенная пользователем последовательность кодов, и восстановит синхронизацию с устройством в случае успеха.

На рисунках приведен пример внешнего вида страницы входа Blitz Identity Provider при запросе ввода пользователем кода подтверждения, выработанного HOTP-устройством, и в процессе проведения процедуры сверки устройства.

Запрос кода подтверждения, выработанного HOTP-устройством

Процедура сверки HOTP-генератора

Двухфакторная аутентификация с помощью разового пароля основе времени (TOTP)

Blitz Identity Provider позволяет настроить использование TOTP-устройств в качестве средств для проверки второго фактора аутентификации. В качестве TOTP-устройства можно использовать любые средства, совместимые со стандартом RFC6238 «TOTP: Time-Based One-Time Password Algorithm» . В качестве таковых могут быть:

  • аппаратные брелоки (генераторы разовых паролей) на основе времени;

  • мобильные приложения.

На рисунке приведен пример внешнего вида страницы входа Blitz Identity Provider при запросе ввода пользователем кода подтверждения.

Запрос кода подтверждения, выработанного TOTP-приложением

Независимо от используемого средства, общие настройки TOTP-аутентификации задаются в разделе Аутентификация, метод аутентификации – «Разовый пароль на основе времени (TOTP)». В настройках необходимо указать:

  1. Допустимое отклонение при проверке кода (количество предыдущих / последующих кодов). По умолчанию оба значения равны 1: пользователь при входе может ввести как текущий пароль, так и следующий или предыдущий (т.е. сгенерированный в соседних временных интервалах). Такая необходимость может возникнуть, например, для компенсации возможной незначительной рассинхронизации серверного времени и времени на TOTP-устройстве пользователя (мобильном приложении или аппаратном ключе).

  2. Настройка отображения генераторов разовых паролей, которая включает в себя атрибут с именем пользователя и название единой системы входа. Эти параметры будут отображаться в мобильном приложении после привязки учетной записи пользователя.

  3. Ссылки на приложения-генераторы разовых паролей. Следует указать ссылки на приложения, которые рекомендуются использовать.

Общие настройки TOTP-аутентификации

Привязка устройств через консоль управления отличается в зависимости от того, используются аппаратные ключи-генераторы разовых паролей или мобильные приложения.

Привязка аппаратных брелоков

Для привязки аппаратных брелоков (генераторов разовых паролей) необходимо перейти в раздел Устройства. Затем загрузить файл с описаниями TOTP-устройств, который, как правило, предоставляет поставщик TOTP-устройства. Подробнее этот процесс описан в разделе 2.9 документа.

После загрузки файла следует:

  • перейти к учетной записи пользователя, которому необходимо привязать устройство (см. подробнее здесь);

  • найти раздел «Генератор паролей на основе времени (TOTP)»;

  • выбрать «Другой тип»;

  • ввести серийный номер необходимого устройства и текущий разовый код подтверждения.

Привязка аппаратного TOTP-генератора

Привязка мобильного приложения

Для привязки мобильного приложения следует:

  • перейти к учетной записи пользователя, которому необходимо привязать мобильное приложение (см. подробнее здесь);

  • найти раздел «Генератор паролей на основе времени (TOTP)»;

  • выбрать «GoogleAuthenticator»;

  • при необходимости отредактировать название мобильного приложения;

  • с помощью мобильного приложения сфотографировать отображаемый QR-код или ввести в приложение строчку-секрет.

Также пользователь может самостоятельно привязать мобильное приложение, генерирующее TOTP-коды, в своем Личном кабинете.

Привязка мобильного приложения, генерирующего TOTP-коды

Двухфакторная аутентификация с помощью разовых паролей, отправляемых в виде SMS-сообщений

Blitz Identity Provider позволяет настроить использование направляемых по SMS кодов подтверждения в качестве механизма проверки второго фактора аутентификации.

Для использования кодов подтверждения по SMS необходимо:

  • настроить и включить этот метод аутентификации. Для корректной работы метода обязательно нужно выбрать атрибут, в котором сохранен номер мобильного телефона пользователя (будут отображены только те атрибуты, которые отмечены в разделе Источники данных как мобильный телефон). При необходимости можно изменить длину кода подтверждения, время его действия, а также количество допустимых попыток ввода кода;

  • настроить подключение Blitz Identity Provider к SMS-шлюзу (см. подробнее здесь.

Следует помнить, что если у пользователя не задан номер мобильного телефона, то он не сможет использовать этот метод подтверждения входа.

Настройки SMS-кодов для двухфакторной аутентификации

На рисунках далее приведен пример внешнего вида страницы входа Blitz Identity Provider при запросе ввода пользователем кода подтверждения, отправленного по SMS.

Инициирование отправки SMS-кода

Ожидание ввода пользователем SMS-кода

Двухфакторная аутентификация с помощью push-уведомлений

Blitz Identity Provider позволяет использовать push-уведомления, отправляемые в мобильное приложение пользователя, в качестве механизма проверки второго фактора аутентификации. По умолчанию поддерживается мобильное приложение Duo Mobile от Duo Security. Двухфакторная аутентификация с помощью push-уведомлений, отправляемых в мобильное приложение Заказчика, доступна в качестве опции для редакции Enterprise.

Для использования push-уведомлений через Duo Mobile необходимо первоначально произвести настойки на стороне сервиса Duo Security. Для этого требуется:

  • зарегистрировать учетную запись на сайте Duo;
  • войти в панель администратора и перейти в раздел Applications;
  • нажать на Protect an Application, среди приложений найти Auth API. После этого нажать на Protect this Application, чтобы получить свой интеграционный и секретный ключ, а также имя хоста.

После выполнения этих операций требуется провести настройку на стороне Blitz Identity Provider.

  • сконфигурировать метод Duo push-аутентификации в разделе Аутентификация в консоли управления. В частности, необходимо указать:

    • параметры учетной записи Duo (имя хоста, интеграционный и секретный ключ);
    • параметры взаимодействия:

      • имя пользователя (задается с помощью строки подстановки) – это имя будет отображено в Duo Mobile в качестве имени учетной записи;
      • время действия кода активации (в секундах) – время, в течение которого действителен код привязки (QR-код);
    • данные для отображения в приложении – информация, отображаемая пользователю в Duo Mobile в виде «ключ: значение». Здесь можно передать значение пользовательского атрибута или какое-то фиксированное значение. В качестве значения также можно указать строку ${app} – это позволит отобразить имя приложения, куда пользователь входит;

    • ссылки на загрузку приложения Duo Mobile.
  • включить метод Duo push-аутентификации в разделе Аутентификация.

Настройки Duo push-аутентификации

Реализована привязка приложения Duo Mobile к учетной записи пользователя следующими способами:

  • через Личный кабинет;
  • через консоль управления.

В Личном кабинете пользователь должен перейти в раздел Безопасность / Подтверждение входа и выполнить следующие шаги:

  1. Выбрать способ подтверждения входа – «Подтверждение с помощью мобильного приложения Duo Mobile».

  2. Установить на смартфон приложение Duo Mobile и отсканировать QR-код, а также нажать «Подтвердить».

  3. После проверки этот метод аутентификации будет добавлен пользователю.

В консоли управления администратор должен:

  1. Найти необходимого пользователя.

  2. Перейти к блоку «Приложение Duo Mobile (QR-код)» и нажать на кнопку «Привязать Duo Mobile».

  3. Попросить пользователя отсканировать QR-код с помощью мобильного приложения Duo Mobile.

На рисунках приведен пример внешнего вида страницы входа Blitz Identity Provider при входе с помощью push-уведомления через приложение Duo Mobile.

Инициирование push-аутентификации

Запрос push-аутентификации на смартфоне