Вход разовым паролем на основе времени (TOTP)#

Для проверки первого фактора аутентификации с использованием метода аутентификации Разовый пароль на основе времени (TOTP) можно использовать любые устройства и программы, совместимые со стандартом RFC6238 «TOTP: Time-Based One-Time Password Algorithm». В качестве таковых могут быть:

  • аппаратные брелоки (генераторы разовых паролей) на основе времени;

  • мобильные приложения.

    Примечание

    Наиболее известные приложения для выработки TOTP-кодов: Google Authenticator, Twilio Authy, FreeOTP Authenticator, Microsoft Authenticator, Яндекс.Ключ.

Для настройки метода входа по Разовому паролю на основе времени (TOTP) выполните описанную ниже последовательность действий.

Шаг 1. Добавление метода в blitz.conf#

Для того, чтобы в методах аутентификации на вкладке Первый фактор появился метод аутентификации Разовый пароль на основе времени (TOTP), выполните следующие действия:

  1. Откройте файл /usr/share/identityblitz/blitz-config/blitz.conf. Например:

    sudo vim /usr/share/identityblitz/blitz-config/blitz.conf
    
  2. В разделе blitz.prod.local.idp.login.factors в первый фактор добавьте:

    "login" : {
        "factors" : [
            [
                {
                    "enabled" : false,
                    "method" : "totp"
                },
                …
            ],
            [
                …
            ]
        ],
        …
    }
    
  3. Перезапустите сервисы.

    sudo systemctl restart blitz-idp blitz-console blitz-recovery
    

Шаг 2. Настройка метода в консоли#

Общие настройки для данного метода задаются в разделе TOTP-генераторы, а на вкладке Первый фактор в разделе Разовый пароль на основе времени (TOTP) только специфичные.

В консоли управления настройте и активируйте метод входа по TOTP. Для этого перейдите в раздел Аутентификация на вкладку Первый фактор. В разделе Разовый пароль на основе времени (TOTP) задайте следующие настройки:

  • Для корректной идентификации пользователя укажите, каким образом должен формироваться логин и какому атрибуту в источнике данных он соответствует.

  • Общее количество попыток: общее число попыток ввода кода подтверждения, после которого способ аутентификации будет временно заблокирован.

  • Время блокировки при превышении попыток, в минутах: в течение указанного времени способ аутентификации будет недоступен пользователю.

../_images/login-totp.png

В блоке Правила выбора хранилища атрибутов можно настроить правила, при выполнении которых поиск пользователя будет осуществляться только в указанном хранилище. Правила выбора хранилища атрибутов описаны в разделе вход по логину и паролю.