Привязка устройств к учетным записям пользователей#

Привязка HOTP и TOTP устройств через консоль управления отличается в зависимости от того, используются аппаратные брелоки или мобильные приложения.

Привязка аппаратных брелоков#

Для возможности использования аппаратных HOTP и TOTP устройств в качестве средств аутентификации администратор должен предварительно загрузить в консоли управления в меню «Устройства» файл с описаниями партии устройств, полученной от их поставщика. Файл содержит сведения о серийном номере устройства, векторе инициализации и ряд других настроек. Blitz Identity Provider поддерживает загрузку файлов распространенных форматов (специализированные XML-файлы, CSV-файлы) файлов с описаниями устройств от различных производителей устройств.

../_images/204.png

Для выполнения загрузки файла нужно задать имя для загружаемый генераторов (это может быть, например, имя устройства), формат данных, а также путь к файлу с описаниями устройств. По нажатии кнопки «Загрузить» Blitz Identity Provider сообщит, сколько записей устройств было загружено или отброшено (если их описание в файле было некорректно, либо запись об устройстве уже присутствуют в системе).

Пример загружаемого файла формата Aladdin/SafeNet XML для HOTP устройств с алгоритмом SHA-1 с минимальным набором параметров:

<?xml version="1.0" encoding="utf-8"?>
<Tokens>
  <Token serial="SN123">
    <Applications>
      <Application>
        <Seed>7bba106e428231c4d4e78361375d161c2d59b40b</Seed>
        <MovingFactor>0</MovingFactor>
      </Application>
    </Applications>
  </Token>
</Tokens>

Пояснения по значениям параметров в файле:

  • serial – серийный номер устройства.

  • Seed – ключ устройства в шестнадцатеричном (hex) формате.

    Примечание

    Если для эмуляции HOTP-устройства используется программный генератор одноразовых кодов, то обычно в программном генераторе в качестве секрета вводится строка в формате Base32. В этом случае значение из Seed нужно из hex перекодировать в Base32, и полученное значение использовать в программном генераторе.

  • MovingFactor – начальное значение генератора (обычно 0).

В разделе «Устройства» также можно выполнить поиск устройства по серийному номеру, посмотреть, было ли привязано и к какой учетной записи найденное устройство.

После загрузки файла следует:

  • перейти к учетной записи пользователя, которому необходимо привязать устройство (меню «Пользователи», см. Привязка устройств для 2FA по разовому паролю);

  • найти раздел «Генератор паролей на основе времени (TOTP)» или «Генератор паролей на основе секрета (HOTP)»;

  • выбрать «Другой тип»;

  • ввести серийный номер необходимого устройства и текущий разовый код подтверждения.

../_images/image031.png

Привязка мобильного приложения#

Для привязки мобильного приложения следует:

  • перейти к учетной записи пользователя, которому необходимо привязать мобильное приложение (меню «Пользователи», см. Привязка устройств для 2FA по разовому паролю);

  • найти раздел «Генератор паролей на основе времени (TOTP)»;

  • выбрать «GoogleAuthenticator»;

  • при необходимости отредактировать название мобильного приложения;

  • с помощью мобильного приложения сфотографировать отображаемый QR-код или ввести в приложение строчку-секрет.

Также пользователь может самостоятельно привязать мобильное приложение, генерирующее TOTP-коды, в веб-приложении «Личный кабинет».

../_images/image032.png