Avanpost FAM/MFA+ : 5.4.9. Настройка метода аппаратный OTP

Общие сведения 

Аппаратный ОТР – это один из методов двухфакторной аутентификации, основанный на использовании специального аппаратного устройства для генерации одноразовых паролей (ОТР) с целью получения доступа к приложениям и сервисам.

Avanpost FAM поддерживает следующие типы OTP-генераторов: 

  • Avanpost;
  • Rutoken;
  • JaCarta;
  • Vasco.

Добавление новых OTP-токенов осуществляется в разделе "OTP токены" режима "Сервис". Раздел содержит следующую информацию и возможности:

  • реестр OTP-токенов с общей информацией:
    • Серийный номер - Серийный номер токена;
    • Производитель - Наименование производителя токена;
    • Модель - Модель носителя для аппаратного генератора (программный или аппаратный);
    • Период - Время действия токена;
    • Статус - Статус токена:
      • Активен;
      • Заблокирован;
    • Пользователь - Логин пользователя, к которому привязан токен;
    • Дата создания - Время и дата привязки.
  • Кнопка "Регистрация токена" - Нажать для регистрации нового токена;
  • Кнопка "Загрузка токена из файла" - Нажать для загрузки токена из файла;
  • Cтрока поиска, позволяющая искать токен по серийному номеру.

Avanpost FAM предоставляет администратору возможность ознакомиться с перечнем действий, осуществляемых с TOTP-токенами, в Журнале действий с TOTP-токенами режима "Отчеты".

Регистрация OTP-токена

Для регистрации нового токена нажать кнопку "Регистрация токена" в разделе OTP-токены и в открывшемся окне ввести параметры согласно таблице. .

ПараметрЗначение
Производитель

Выбрать из выпадающего списка производителя OTP-генератора из выпадающего списка:

  • Avanpost;
  • Vasco;
  • Rutoken;
  • JaCarta.
МодельВвести модель аппаратного OTP-генератора (аппаратный или программный).
Серийный номерВвести серийный номер аппаратного OTP-генератора.
Длина пароляВыбрать длину пароля из выпадающего списка. 
Алгоритм

Выбрать из выпадающего списка алгоритм шифрования передаваемых данных:

  • SHA256;
  • SHA512;
  • MD5;
  • SHA1.
Период

Выбрать из выпадающего списка время ожидания ответа после генерации OTP в секундах.

Время, которое OTP-код остается валидным. По истечении времени OTP обновится.

СекретЗадать секрет (кроме OTP-токенов типа Vasco). Секрет задается в кодировке base32.
Действителен до

Ввести дату, до которой токен действителен. 

Данный параметр позволяет настроить срок действия конкретного аппаратного токена. По истечении срока действия аппаратный токен автоматически блокируется (пользователь об этом не уведомляется). 

Изменение срока действия аппаратного токена Vasco можно выборочно осуществить не только в веб-интерфейсе административной консоли, но и через API-запросы (примеры и описание API-запросов задокументированы по ссылке).

После установки параметров нажать "Сохранить" для сохранения или "Отмена", чтобы не вносить изменения.

Загрузка OTP-токена из файла

Avanpost FAM поддерживает возможность загрузки токенов из файла. Также данная функциональность поддерживает загрузку базы данных аппаратных токенов Vasco. Для загрузки нового токена следует нажать кнопку "Загрузка OTP-токена из файла" в разделе OTP-токены и в открывшемся окне ввести параметры согласно таблице.

ПараметрЗначение
Выберите файл

Нажать кнопку "Выберите файл" для выбора файла. Поддерживаются следующие форматы токенов:

  • cvs;
  • json;
  • xml.
Имя корневого элементаВвести наименование корневого элемента токена (например, TokenData), в котором содержатся все прочие параметры токена, перечисленные ниже.
ПроизводительВвести наименование параметра токена, в котором содержится название производителя OTP-генератора.
МодельВвести наименование параметра токена, в котором содержится наименование модели аппаратного OTP-генератора.
Серийный номерВвести наименование параметра токена, в котором серийный номер аппаратного OTP-генератора.
ИздательВвести наименование параметра токена, где содержится название издателя токена.
Длина пароляВвести наименование параметра токена, где содержится значение длины пароля (рекомендуемые значения: 6 или 8).
АлгоритмВвести наименование параметра токена, где содержится наименование алгоритма шифрования передаваемых данных.
Период

Ввести параметр токена, в котором содержится значение со сроком действия токена.

Срок действия токена отсчитывается от даты начала действия токена (дата привязки токена к клиенту). Дата окончания срока действия высчитывается как сложение даты начала действия токена и заданным значением параметра "Период".  По истечению срока действия аппаратный токен автоматически блокируется (пользователь об этом не уведомляется).

СекретВвести параметр токена, в котором указано значение секрет (кроме OTP-токенов типа Vasco).
Идентификатор пользователяВвести параметр токена, в котором указан уникальный идентификатор пользователя, использующего токен.
Идентификатор токенаВвести параметр токена, в котором указан уникальный идентификатор токена в Базе данных.

Загрузка токенов пользователя с другого файла

При активации чекбокса администратор получает возможность загрузить дополнительный (предназначено для случаев, когда часть вышеуказанных параметров содержится в одном токене, а часть - в другом).

Открываются следующие настройки, необходимые для заполнения (по аналогии с вышеперечисленными):

  • Имя корневого элемента;
  • Идентификатор пользователя;
  • Идентификатор токена.

После установки параметров следует нажать кнопку "Сохранить" для сохранения или кнопку "Отмена", чтобы не вносить изменения.

Управление добавленными OTP-токенами

Avanpost FAM предоставляет возможность управления, дополнительной настройки и получения информации о добавленных OTP-токенах. Управление доступно в профиле токена в разделе "OTP токены" раздела "Сервис". Для получения информации и редактирования токена требуется перейти в его профиль из общего реестра OTP-токенов. В разделе содержатся следующая информация и возможности:

  • Кнопка/ - Заблокировать (перевести в статус "Заблокирован")/Разблокировать данный токен (перевести в статус "Активен");
  • Кнопка -  Удалить данный токен (после подтверждения действия); 
  • Вкладка "Данные токена" - Вкладка, позволяющая редактировать данные токена;
  • Вкладка "Синхронизация токена" - Вкладка настройки синхронизации токена;
  • Вкладка "Действия с токеном" - Упрощенный журнал действий с токеном.

Во вкладке "Данные токена" содержатся следующие параметры токена:

ПараметрЗначение
Производитель

Соответствуют параметрам, используемым при создании нового токена

Для изменения данных параметров следует требуется в режим редактирования, нажав на кнопку .

Модель
Серийный номер
Длина пароля
Алгоритм
Период
Секрет
Последнее использованиеДата и время последней попытки использования токена.
Последнее успешное использованиеДата и время последней попытки использования токена.

Чтобы сохранить внесенные изменения следует нажать кнопку "Сохранить", для отказа от изменений - кнопку "Отмена".

Вкладка "Синхронизация токена" содержит интерфейс для процедуры приведения значения счетчика сеансовых ключей OTP-генератора к согласованному значению со счетчиком на стороне Avanpost FAM. Вкладка содержит следующие параметры и возможности:

  • "Первый пароль" - Текстовое поле для ввода первого сгенерированного одноразового пароля (не менее 6 символов);
  • "Второй пароль" - Текстовое поле для ввода второго сгенерированного одноразового пароля (не менее 6 символов);
  • Кнопка "Синхронизировать токен" - Нажать для запуска процесса синхронизации. 

Синхронизация OTP-токена осуществляется следующим образом:

  1. Войти во вкладку "Синхронизация токена" в профиле интересуемого токена.
  2. Создать одноразовый пароль при помощи OTP-генератора и ввести в графу "Первый пароль".
  3. Создать еще один одноразовый пароль при помощи OTP-генератора и ввести в графу "Второй пароль".
  4. Нажать на кнопку кнопку "Синхронизировать токен" и дождаться завершения синхронизации.

Вкладка "Действия с токеном" содержит данные об операциях, производившихся с данным токеном (более подробную информацию о действиях с TOTP-токенами можно найти в Журнале действий с TOTP-токенами):

  • Пользователь - Имя пользователя, в отношении которого было осуществлена операция с токеном;
  • Время действия - Дата и время осуществленной операции;
  • Действие - Тип действия (Привязан/Отвязан).

Привязка ОТР-аутентификатора

Для работы фактора аппаратный ОТР должна быть произведена предварительная настройка фактора TOTP в административной консоли в разделе "Настройки методов аутентификации" (см.Настройка фактора программный TOTP)

Для привязки ОТР-аутентификатора к учетным данным необходимо: 

  1. В личном кабинете Avanpost FAM перейти на вкладку "Факторы аутентификации" и выбрать "ТОТР". На странице отобразится сгенерированный QR-код (Рисунок):
  2. С помощью программного продукта вендора аппаратных ОТР отсканировать QR-код и задать необходимые настройки (серкретный ключ, ключ администратора и др.)

    Документация для ознакомления с настройками:

  3. Сгенерированный на аппаратном устройстве код ввести в поле "Одноразовый код" в ЛК Avanpost FAM и нажать кнопку "Проверить". После корректного введения кода производится привязка токена к учетной записи пользователя. 


Обсуждение