Avanpost FAM/MFA+ : 5.4.5. Настройка метода E-mail OTP

Фактор аутентификации E-mail OTP – это один из методов двухфакторной аутентификации, который основан на использовании одноразового кода, полученного по электронной почте, для подтверждения своей личности при входе в Систему. Механизм доставки сообщений и аутентификации посредством одноразовых кодов (OTP), доставляемых по E-mail, осуществляет отправку сообщений через SMTP-шлюз.

Для использования метода аутентификации E-mail OTP необходимо указать в профиле сотрудника адрес его электронный почты, на который будет приходить код подтверждения. Привязка аутентификатора E-mail OTP возможна в следующих сценариях:

Если публикация выполнена через Nginx без TLS, по HTTP, то стоит учитывать возможность ошибок аутентификации. Для избежания этого следует:

  1. Настроить TLS, к примеру, посредством Nginx, выполнив публикацию по HTTPS.
  2. Или же разрешить использование cookies без флага secure.

Для настройки второго варианта в конфигурационный файл config.toml (расположен по пути /opt/idp/config.toml) необходимо добавить секцию: 

[cookie]
path = '/'
secure = false
http_only = true
same_site = 'None'
max_age = 2592000

После добавления секции также следует перезапустить службу idp.

Настройка фактора E-mail OTP производится в административной консоли в разделе "Настройки методов аутентификации" режима "Сервис" (Таблица).

Таблица – Описание параметров настройки фактора E-mail

ПараметрНастройка
Ключ-тэг

Ввести уникальный тэг

(используется для ориентации в логах)

Фактор аутентификацииEmail
Метод активенУстановленный флажок включает активность метода аутентификации.
Включить DEBUG-режим (одноразовый пароль выводится в лог, без отправки пользователю)

Установленный флажок включает отправку одноразового пароля в лог.

Функция направлена на возможность проверки правильности генерации одноразового пароля.

Хост SMTP-сервераВвести хост SMTP-сервера (IP-адрес или доменное имя).
Порт SMTP-сервера

Установить порт SMTP-сервера (по умолчанию 465 – протокол SMTP с расширением SSL/TLS).

Возможно использование других портов SMTP-сервера: 25, 465, 587, 2525 и др.

Установленный флажок включает проверку наличия и правильной настройки SSL/TLS-сертификата на SMTP-сервере. 

Проверка TLS (SMTPS) включает в себя проверку действительности SSL/TLS-сертификата, который используется на SMTP-сервере, и убеждение в том, что он был выдан доверенным удостоверяющим центром (CA).

Логин технологической УЗВвести логин УЗ на SMTP-сервере.
Пароль технологической УЗВвести пароль УЗ на SMTP-сервере.
Email технологической УЗВвести Email УЗ на SMTP-сервере.
Число попыток отправки сообщенияУстановить максимальное число попыток отправки сообщения.
Длина одноразового пароля (TOTP)Установить число символов одноразового пароля (по умолчанию 6).
Срок действия одноразового пароля (в секундах)Установить время действия одноразового пароля в секундах (по умолчанию 60). 
Количество попыток ввода одноразового пароляУстановить максимальное число попыток неверного ввода одноразового пароля (по умолчанию 3).
Интервал времени ожидания для повторного запроса кода

Установить интервал времени ожидания для повторного запроса кода (по умолчанию 60 секунд).

Заголовок сообщения (subject)Ввести текстовый заголовок сообщения (по умолчанию "Подтвердите вход в систему").
HTML-шаблон сообщения (body)

Записать HTML-шаблон для установки дополнительных параметров аутентификации

(например, вставка OTP-кода и/или атрибутов пользователя).

или воспользоваться предзаполненным стандартным шаблоном: "Для входа в систему воспользуйтесь кодом {{.Code}} или перейдите по ссылке {{.URL}}", 

Шаблон может содержать плейсхолдеры: 

Плейсхолдер {{.Code}} является переменной, которая может быть заполнена конкретным числовым кодом в момент отправки сообщения. При отправке сообщения на Email значение плейсхолдера будет заменено на соответствующий код.

Плейсхолдер {{.URL}} является переменной, которая может быть заполнена временной ссылкой. Сервер генерирует временный токен аутентификации, передающийся через параметры в URL-адресе. При открытии ссылки токен отправляется на сервер и фактор Email считается успешно пройденным.

Обсуждение