Identity Cloud : 5.4.7. Настройка метода аппаратный OTP

Identity Cloud : 5.4.7. Настройка метода аппаратный OTP

[ Общие сведения ] [ Регистрация OTP-токена ] [ Загрузка OTP-токена из файла ] [ Управление добавленными OTP-токенами ] [ Привязка ОТР-аутентификатора ] [ Приложение А. Альтернативная настройка Рутокен OTP пользователем ]

Общие сведения 

Аппаратный ОТР – это один из методов двухфакторной аутентификации, основанный на использовании специального аппаратного устройства для генерации одноразовых паролей (ОТР) с целью получения доступа к приложениям и сервисам.

Avanpost Identity Cloud поддерживает следующие типы аппаратных OTP-генераторов: 

  • Avanpost;
  • Rutoken (все модели, поддерживаемые производителем);
  • JaCarta (все модели, поддерживаемые производителем).

Добавление новых OTP-токенов осуществляется в разделе "OTP токены" режима "Сервис". Раздел содержит следующую информацию и возможности:

  • реестр OTP-токенов с общей информацией:
    • Серийный номер - Серийный номер токена;
    • Производитель - Наименование производителя токена;
    • Модель - Модель носителя для аппаратного генератора (программный или аппаратный);
    • Период - Время действия токена;
    • Статус - Статус токена:
      • Активен;
      • Заблокирован;
    • Пользователь - Логин пользователя, к которому привязан токен;
    • Дата создания - Время и дата привязки.
  • Кнопка "Регистрация токена" - Нажать для регистрации нового токена;
  • Кнопка "Загрузка токена из файла" - Нажать для загрузки токена из файла;
  • Cтрока поиска, позволяющая искать токен по серийному номеру.

Avanpost Identity Cloud предоставляет администратору возможность ознакомиться с перечнем действий, осуществляемых с TOTP-токенами, в Журнале действий с TOTP-токенами режима "Отчеты".

Регистрация OTP-токена

Для регистрации нового токена нажать кнопку "Регистрация токена" в разделе OTP-токены и в открывшемся окне ввести параметры согласно таблице. .

ПараметрЗначение
Производитель

Выбрать из выпадающего списка производителя OTP-генератора из выпадающего списка:

  • Avanpost;
  • Rutoken;
  • JaCarta.
МодельВвести модель аппаратного OTP-генератора (аппаратный или программный).
Серийный номерВвести серийный номер аппаратного OTP-генератора.
Длина пароляВыбрать длину пароля из выпадающего списка. 
Алгоритм

Выбрать из выпадающего списка алгоритм шифрования передаваемых данных:

  • SHA256;
  • SHA512;
  • MD5;
  • SHA1.
Период

Выбрать из выпадающего списка время ожидания ответа после генерации OTP в секундах.

Время, которое OTP-код остается валидным. По истечении времени OTP обновится.

СекретЗадать секрет. Секрет задается в кодировке base32.

После установки параметров нажать "Сохранить" для сохранения или "Отмена", чтобы не вносить изменения.

Загрузка OTP-токена из файла

Avanpost Identity Cloud поддерживает возможность загрузки токенов из файла. Для загрузки нового токена следует нажать кнопку "Загрузка OTP-токена из файла" в разделе OTP-токены и в открывшемся окне ввести параметры согласно таблице.

ПараметрЗначение
Выберите файл

Нажать кнопку "Выберите файл" для выбора файла. Поддерживаются следующие форматы токенов:

  • cvs;
  • json;
  • xml.
Имя корневого элементаВвести наименование корневого элемента токена (например, TokenData), в котором содержатся все прочие параметры токена, перечисленные ниже.
ПроизводительВвести наименование параметра токена, в котором содержится название производителя OTP-генератора.
МодельВвести наименование параметра токена, в котором содержится наименование модели аппаратного OTP-генератора.
Серийный номерВвести наименование параметра токена, в котором серийный номер аппаратного OTP-генератора.
ИздательВвести наименование параметра токена, где содержится название издателя токена.
Длина пароляВвести наименование параметра токена, где содержится значение длины пароля (рекомендуемые значения: 6 или 8).
АлгоритмВвести наименование параметра токена, где содержится наименование алгоритма шифрования передаваемых данных.
Период

Ввести параметр токена, в котором содержится значение со сроком действия токена.

Срок действия токена отсчитывается от даты начала действия токена (дата привязки токена к клиенту). Дата окончания срока действия высчитывается как сложение даты начала действия токена и заданным значением параметра "Период".  По истечению срока действия аппаратный токен автоматически блокируется (пользователь об этом не уведомляется).

СекретВвести параметр токена, в котором указано значение секрет.
Идентификатор пользователяВвести параметр токена, в котором указан уникальный идентификатор пользователя, использующего токен.
Идентификатор токенаВвести параметр токена, в котором указан уникальный идентификатор токена в Базе данных.

Загрузка токенов пользователя с другого файла

При активации чекбокса администратор получает возможность загрузить дополнительный (предназначено для случаев, когда часть вышеуказанных параметров содержится в одном токене, а часть - в другом).

Открываются следующие настройки, необходимые для заполнения (по аналогии с вышеперечисленными):

  • Имя корневого элемента;
  • Идентификатор пользователя;
  • Идентификатор токена.

После установки параметров следует нажать кнопку "Сохранить" для сохранения или кнопку "Отмена", чтобы не вносить изменения.

Управление добавленными OTP-токенами

Avanpost Identity Cloud предоставляет возможность управления, дополнительной настройки и получения информации о добавленных OTP-токенах. Управление доступно в профиле токена в разделе "OTP токены" раздела "Сервис". Для получения информации и редактирования токена требуется перейти в его профиль из общего реестра OTP-токенов. В разделе содержатся следующая информация и возможности:

  • Кнопка/ - Заблокировать (перевести в статус "Заблокирован")/Разблокировать данный токен (перевести в статус "Активен");
  • Кнопка -  Удалить данный токен (после подтверждения действия); 
  • Вкладка "Данные токена" - Вкладка, позволяющая редактировать данные токена;
  • Вкладка "Синхронизация токена" - Вкладка настройки синхронизации токена;
  • Вкладка "Действия с токеном" - Упрощенный журнал действий с токеном.

Во вкладке "Данные токена" содержатся следующие параметры токена:

ПараметрЗначение
Данные токена
Производитель

Соответствуют параметрам, используемым при создании нового токена

Для изменения данных параметров следует требуется в режим редактирования, нажав на кнопку .


 

 

Модель
Серийный номер
Длина пароля
Алгоритм
Период
Время действия одноразового пароля (в секундах)
Действителен с
Действителен до
Последнее использованиеДата и время последней попытки использования токена.
Последнее успешное использованиеДата и время последней попытки использования токена.
Изменение секрета
Секрет

Значение секрета. Просмотр, копирование или изменение секрета доступны после нажатия на кнопку .

Чтобы сохранить внесенные изменения следует нажать кнопку "Сохранить", для отказа от изменений - кнопку "Отмена".

Вкладка "Синхронизация токена" содержит интерфейс для процедуры приведения значения счетчика сеансовых ключей OTP-генератора к согласованному значению со счетчиком на стороне Avanpost Identity Cloud. Вкладка содержит следующие параметры и возможности:

  • "Первый пароль" - Текстовое поле для ввода первого сгенерированного одноразового пароля (не менее 6 символов);
  • "Второй пароль" - Текстовое поле для ввода второго сгенерированного одноразового пароля (не менее 6 символов);
  • Кнопка "Синхронизировать токен" - Нажать для запуска процесса синхронизации. 

Синхронизация OTP-токена осуществляется следующим образом:

  1. Войти во вкладку "Синхронизация токена" в профиле интересуемого токена.
  2. Создать одноразовый пароль при помощи OTP-генератора и ввести в графу "Первый пароль".
  3. Создать еще один одноразовый пароль при помощи OTP-генератора и ввести в графу "Второй пароль".
  4. Нажать на кнопку кнопку "Синхронизировать токен" и дождаться завершения синхронизации.

Вкладка "Действия с токеном" содержит данные об операциях, производившихся с данным токеном (более подробную информацию о действиях с TOTP-токенами можно найти в Журнале действий с TOTP-токенами):

  • Пользователь - Имя пользователя, в отношении которого было осуществлена операция с токеном;
  • Время действия - Дата и время осуществленной операции;
  • Действие - Тип действия (Привязан/Отвязан).

Привязка ОТР-аутентификатора

Для работы фактора аппаратный ОТР должна быть произведена предварительная настройка фактора TOTP в административной консоли в разделе "Настройки методов аутентификации" (см.Настройка фактора программный TOTP)

Для привязки ОТР-аутентификатора к учетным данным необходимо: 

  1. В личном кабинете Avanpost Identity Cloud перейти на вкладку "Факторы аутентификации" и выбрать "ТОТР". На странице отобразится сгенерированный QR-код (Рисунок):
  2. С помощью программного продукта вендора аппаратных ОТР отсканировать QR-код и задать необходимые настройки (секретный ключ, ключ администратора и др.)

    Документация для ознакомления с настройками:

  3. Сгенерированный на аппаратном устройстве код ввести в поле "Одноразовый код" в ЛК Avanpost Identity Cloud и нажать кнопку "Проверить". После корректного введения кода производится привязка токена к учетной записи пользователя. 

Приложение А. Альтернативная настройка Рутокен OTP пользователем

Для упрощения настройки Рутокен OTP допускается использовать способ, выполняемый пользователем. При этом необходимость регистрации OTP-токена администратором отсутствует. Привязку данным способом необходимо выполнять следующим образом:

В процессе привязки OTP-токена необходимо учесть следующее:

Параметру "Алгоритм одноразового пароля (TOTP)" (для проверки перейти в режим "Сервис", раздел "Настройки методов аутентификации", фактор "TOTP") должно быть присвоено значение SHA256 (Рутокен OTP поддерживает алгоритмы шифрования SHA1 и SHA256, однако рекомендуется использовать SHA256).

В случае, если в процессе настройки OTP-токена пользователю выдается ошибка "Неверный код", администратор должен:

  1. Из режима "Пользователи" перейти в карточку пользователя.
  2. Войти во вкладку "Дополнительно", в раздел "OTP Токены". 
  3. Убедиться, что в нем отсутствуют записи. В противном случае записи требуется удалить, чтобы они не препятствовали привязке аппаратного токена.
  1. Пользователю необходимо аутентифицироваться Avanpost Identity Cloud и зайти в личный кабинет перейти во вкладку "Факторы Аутентификации".
  2. Нажать кнопку привязки фактора TOTP и дождаться появления QR-кода.
  3. Открыть приложение Рутокен OTP на смартфоне и нажать на значок QR-кода рядом с полем "Секретный ключ".
  4. Отсканировать QR-код, который отображается в личном кабинете и убедиться, что в приложении Рутокен автоматически заполнилась информация о пользователе.

    При записи настроек и секрета на Рутокен OTP важно удостоверится, что:

    • настройки аппаратного токена (в частности, параметры Шаг времени и Алгоритм) пользователя соответствуют настройкам фактора аутентификации TOTP в профиле токена на стороне Avanpost Identity Cloud (перейти в профиль токена можно в разделе "OTP токены" раздела "Сервис");
    • токен синхронизирован с Avanpost Identity Cloud (синхронизация выполняется во вкладке "Синхронизация токена" в разделе "OTP токены").

  5. Включить аппаратный OTP-токен Рутокен и поднести к телефону с поддержкой NFC.

  6. Выполнить запись секретного ключа и настроек, если вносились какие-то изменения в настройки.

  7. После успешной записи ввести в личном кабинете пользователя Avanpost Identity Cloud код из токена в поле привязки.

  8. Убедиться, что токен привязан к пользователю: пройти с помощью токена процесс аутентификации.

Обсуждение