Общие сведения
Фактор аутентификации E-mail OTP – это один из методов двухфакторной аутентификации, который основан на использовании одноразового кода, полученного по электронной почте, для подтверждения своей личности при входе в Систему. Механизм доставки сообщений и аутентификации посредством одноразовых кодов (OTP), доставляемых по E-mail, осуществляет отправку сообщений через SMTP-шлюз.
Для использования метода аутентификации E-mail OTP необходимо указать в профиле сотрудника адрес его электронный почты, на который будет приходить код подтверждения. Привязка аутентификатора E-mail OTP возможна в следующих сценариях:
- Привязка в личном кабинете Avanpost FAM посредством ввода или корректировки E-mail.
- Привязка в административной консоли Avanpost FAM посредством указания администратором E-mail сотрудника.
- Автоматическая привязка на основе факта импорта атрибута пользователя из доверенного источника, к примеру, в результате LDAP-синхронизации (например, в рамках LDAP-синхронизации с Microsoft Active Directory (MS AD) в качестве источника пользователей, LDAP-синхронизации с FreeIPA и т.д.).
Если публикация выполнена через Nginx без TLS, по HTTP, то стоит учитывать возможность ошибок аутентификации. Для избежания этого следует:
- Настроить TLS, к примеру, посредством Nginx, выполнив публикацию по HTTPS.
- Или же разрешить использование cookies без флага secure.
Для настройки второго варианта в конфигурационный файл config.toml (расположен по пути /opt/idp/config.toml) необходимо добавить секцию:
[cookie] path = '/' secure = false http_only = true same_site = 'None' max_age = 2592000
После добавления секции также следует перезапустить службу idp.
Настройка фактора программный Email
Настройка метода аутентификации Email осуществляется в административной консоли Avanpost FAM Server следующим образом:
- Войти в раздел "Настройки методов аутентификации" режима "Сервис".
- Нажать кнопку "Добавить метод аутентификации".
- Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".
Параметр Описание Название Ввести название. Фактор аутентификации Выбрать "Email". Метод активен Заполнить чекбокс:
- при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
- при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
- Установить параметры метода согласно таблице ниже.
Параметр Настройка Название метода отображаемое пользователям Ввести название метода для отображения пользователям.
Ключ-тэг Ввести уникальный тэг (используется для ориентации в логах).
Фактор аутентификации Email Метод активен Установить чекбокс:
- При установленном чекбоксе метод аутентификации активен и может использоваться.
- При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.
Настройки привязки фактора
Разрешить Inline-привязку с помощью других факторов Заполнить чекбокс:
- при включенном чекбоксе пользователь имеет возможность привязывать дополнительные факторы непосредственно в процессе аутентификации;
- при выключенном чекбоксе у пользователя отсутствует привязывать факторы в процессе аутентификации.
Основные настройки
Включить DEBUG-режим (одноразовый пароль выводится в лог, без отправки пользователю) Заполнить чекбокс:
- При установленном флаге включается отправку одноразового пароля в лог.
- При установленном флаге отправка пароля пароля в лог не производится.
Функция направлена на возможность проверки правильности генерации одноразового пароля.
Хост SMTP-сервера Ввести хост SMTP-сервера (IP-адрес или доменное имя). Порт SMTP-сервера Установить порт SMTP-сервера (по умолчанию 465 – протокол SMTP с расширением SSL/TLS).
Возможно использование других портов SMTP-сервера: 25, 465, 587, 2525 и др.
Заполнить чекбокс:
- При установленном флажке включается проверка наличия и правильной настройки SSL/TLS-сертификата SMTP-сервера.
- При выключенном флажке проверка SSL/TLS-сертификата SMTP-сервера на осуществляется.
Проверка TLS (SMTPS) включает в себя проверку действительности SSL/TLS-сертификата, который используется на SMTP-сервере, и убеждение в том, что он был выдан доверенным удостоверяющим центром (CA).
Логин технологической УЗ Ввести логин УЗ на SMTP-сервере. Пароль технологической УЗ Ввести пароль УЗ на SMTP-сервере. Email технологической УЗ Ввести Email УЗ на SMTP-сервере. Число попыток отправки сообщения Установить максимальное число попыток отправки сообщения (по умолчанию 3). Длина одноразового пароля (TOTP) Установить число символов одноразового пароля (по умолчанию 6). Срок действия одноразового пароля (в секундах) Установить время действия одноразового пароля в секундах (по умолчанию 60). Количество попыток ввода одноразового пароля Установить максимальное число попыток неверного ввода одноразового пароля (по умолчанию 3). Интервал времени ожидания для повторного запроса кода Установить интервал времени ожидания для повторного запроса кода (по умолчанию 60 секунд).
Заголовок сообщения (subject) Ввести текстовый заголовок сообщения (по умолчанию "Подтвердите вход в систему"). HTML-шаблон сообщения (body) Записать HTML-шаблон для установки дополнительных параметров аутентификации
(например, вставка OTP-кода и/или атрибутов пользователя).
или воспользоваться предзаполненным стандартным шаблоном: "Для входа в систему воспользуйтесь кодом {{.Code}} или перейдите по ссылке {{.URL}}",
Шаблон может содержать плейсхолдеры:
Плейсхолдер {{.Code}} является переменной, которая может быть заполнена конкретным числовым кодом в момент отправки сообщения. При отправке сообщения на Email значение плейсхолдера будет заменено на соответствующий код.
Плейсхолдер {{.URL}} является переменной, которая может быть заполнена временной ссылкой. Сервер генерирует временный токен аутентификации, передающийся через параметры в URL-адресе. При открытии ссылки токен отправляется на сервер и фактор Email считается успешно пройденным.
- Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").