Фактор аутентификации E-mail OTP – это один из методов двухфакторной аутентификации, который основан на использовании одноразового кода, полученного по электронной почте, для подтверждения своей личности при входе в Систему. Механизм доставки сообщений и аутентификации посредством одноразовых кодов (OTP), доставляемых по E-mail, осуществляет отправку сообщений через SMTP-шлюз.
Для использования метода аутентификации E-mail OTP необходимо указать в профиле сотрудника адрес его электронный почты, на который будет приходить код подтверждения. Привязка аутентификатора E-mail OTP возможна в следующих сценариях:
- Привязка в личном кабинете Avanpost FAM посредством ввода или корректировки E-mail.
- Привязка в административной консоли Avanpost FAM посредством указания администратором E-mail сотрудника.
- Автоматическая привязка на основе факта импорта атрибута пользователя из доверенного источника, к примеру, в результате LDAP-синхронизации (например, в рамках LDAP-синхронизации с Microsoft Active Directory (MS AD) в качестве источника пользователей, LDAP-синхронизации с FreeIPA и т.д.).
Если публикация выполнена через Nginx без TLS, по HTTP, то стоит учитывать возможность ошибок аутентификации. Для избежания этого следует:
- Настроить TLS, к примеру, посредством Nginx, выполнив публикацию по HTTPS.
- Или же разрешить использование cookies без флага secure.
Для настройки второго варианта в конфигурационный файл config.toml (расположен по пути /opt/idp/config.toml) необходимо добавить секцию:
[cookie] path = '/' secure = false http_only = true same_site = 'None' max_age = 2592000
После добавления секции также следует перезапустить службу idp.
Настройка фактора E-mail OTP производится в административной консоли в разделе "Настройки методов аутентификации" режима "Сервис" (Таблица).
Таблица – Описание параметров настройки фактора E-mail
| Параметр | Настройка |
|---|---|
| Ключ-тэг | Ввести уникальный тэг (используется для ориентации в логах) |
| Фактор аутентификации | |
| Метод активен | Установленный флажок включает активность метода аутентификации. |
| Включить DEBUG-режим (одноразовый пароль выводится в лог, без отправки пользователю) | Установленный флажок включает отправку одноразового пароля в лог. Функция направлена на возможность проверки правильности генерации одноразового пароля. |
| Хост SMTP-сервера | Ввести хост SMTP-сервера (IP-адрес или доменное имя). |
| Порт SMTP-сервера | Установить порт SMTP-сервера (по умолчанию 465 – протокол SMTP с расширением SSL/TLS). Возможно использование других портов SMTP-сервера: 25, 465, 587, 2525 и др. |
Установленный флажок включает проверку наличия и правильной настройки SSL/TLS-сертификата на SMTP-сервере. Проверка TLS (SMTPS) включает в себя проверку действительности SSL/TLS-сертификата, который используется на SMTP-сервере, и убеждение в том, что он был выдан доверенным удостоверяющим центром (CA). | |
| Логин технологической УЗ | Ввести логин УЗ на SMTP-сервере. |
| Пароль технологической УЗ | Ввести пароль УЗ на SMTP-сервере. |
| Email технологической УЗ | Ввести Email УЗ на SMTP-сервере. |
| Число попыток отправки сообщения | Установить максимальное число попыток отправки сообщения. |
| Длина одноразового пароля (TOTP) | Установить число символов одноразового пароля (по умолчанию 6). |
| Срок действия одноразового пароля (в секундах) | Установить время действия одноразового пароля в секундах (по умолчанию 60). |
| Количество попыток ввода одноразового пароля | Установить максимальное число попыток неверного ввода одноразового пароля (по умолчанию 3). |
| Интервал времени ожидания для повторного запроса кода | Установить интервал времени ожидания для повторного запроса кода (по умолчанию 60 секунд). |
| Заголовок сообщения (subject) | Ввести текстовый заголовок сообщения (по умолчанию "Подтвердите вход в систему"). |
| HTML-шаблон сообщения (body) | Записать HTML-шаблон для установки дополнительных параметров аутентификации (например, вставка OTP-кода и/или атрибутов пользователя). или воспользоваться предзаполненным стандартным шаблоном: "Для входа в систему воспользуйтесь кодом {{.Code}} или перейдите по ссылке {{.URL}}", Шаблон может содержать плейсхолдеры: Плейсхолдер {{.Code}} является переменной, которая может быть заполнена конкретным числовым кодом в момент отправки сообщения. При отправке сообщения на Email значение плейсхолдера будет заменено на соответствующий код. Плейсхолдер {{.URL}} является переменной, которая может быть заполнена временной ссылкой. Сервер генерирует временный токен аутентификации, передающийся через параметры в URL-адресе. При открытии ссылки токен отправляется на сервер и фактор Email считается успешно пройденным. |