Avanpost FAM/MFA+ : 5.4.4. Настройка метода программный TOTP

Общие сведения

Фактор аутентификации TOTP – это один из методов двухфакторной аутентификации, который основан на использовании временных паролей, создаваемых на основе текущего времени и специального шифрования.

Для использования данного метода необходимо иметь на мобильном устройстве любое приложение-генератор, которое работает с протоколом TOTP (например, Avanpost Authenticator, Яндекс.Ключ, Google Authenticator, Microsoft Authenticator и т.д.).

При входе в Систему после ввода основного пароля потребуется ввести сгенерированный временный пароль, который действителен только на ограниченное время.

Для того, чтобы сотрудник мог пользоваться методом аутентификации TOTP OTP, требуется выполнить привязку TOTP-аутентификатора. Привязка аутентификатора TOTP возможна в следующих сценариях:

  • Привязка в личном кабинете Avanpost FAM посредством сканирования приложением-генератором TOTP QR-кода.
  • Привязка через электронную почту посредством отправки QR-кода на E-mail адрес сотрудника.

Для отвязки привязанного TOTP-аутентификатора, например, при утере или поломке смартфона пользователя. Следует настроить метод аутентификации TOTP в разделе административного интерфейса “Сервис” и установить там флаг “Разрешить Inline-привязку с помощью других факторов”.

Настройка фактора программный TOTP

Настройка выполняется однократно для приложения Avanpost Authenticator, а не для отдельных аккаунтов/групп аккаунтов пользователей.

Настройка метода аутентификации Avanpost осуществляется в административной консоли Avanpost FAM Server следующим образом:

  1. Войти в раздел "Настройки методов аутентификации" режима "Сервис".
  2. Нажать кнопку "Добавить метод аутентификации". 
  3. Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".
    ПараметрОписание
    НазваниеВвести название.
    Фактор аутентификацииВыбрать "TOTP".
    Метод активен

    Заполнить чекбокс:

    • при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
    • при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
  4. Установить параметры метода согласно таблице ниже.

    Параметр 

    Настройка
    Название метода отображаемое пользователям

    Ввести название метода для отображения пользователям.

    Ключ-тэг

    Ввести уникальный тэг (используется для ориентации в логах).

    Фактор аутентификацииTOTP
    Метод активен

    Заполнить чекбокс:

    • При установленном чекбоксе метод аутентификации активен и может использоваться.
    • При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.

    Настройки привязки фактора

    Разрешить Inline-привязку с помощью других факторов

    Заполнить чекбокс:

    • при включенном чекбоксе пользователь имеет возможность привязывать дополнительные факторы непосредственно в процессе аутентификации;
    • при выключенном чекбоксе у пользователя отсутствует привязывать факторы в процессе аутентификации.

    Настройки TOTP

    Длина TOTPУстановить число символов одноразового пароля (по умолчанию 6).
    Алгоритм одноразового пароля (TOTP)

    Выбрать алгоритм шифрования:

    • генерирует 160-битные хэши;

    Установить время ожидания ответа после генерации пароля в секундах (по умолчанию 30). В течение данного времени TOTP остается валидным, по истечении времени TOTP обновляется.

    Использовать код 1 раз

    Допустимое отклонение при проверке TOTP-кода. Данная функция компенсирует возможною незначительную рассинхронизацию серверного времени и времени на TOTP-устройстве пользователя.

    Заполнить чекбокс:

    • при выключенном флажке пользователь при входе может ввести как текущий код подтверждения, так и следующий или предыдущий (сгенерированный в соседних временных интервалах);
    • установленный флажок запрещает использование TOTP-кода, сгенерированного в соседних временных интервалах.

    Время действия генератора TOTP

    Глобальная настройка, ограничивающая время жизни OTP-генератора в Avanpost FAM. При этом изменение значения срока действия аппаратного токена применяется лишь на те токены, которые вновь назначаются пользователям.

    Заполнить чекбокс:

    • при включенном чекбоксе у аппаратного OTP-генератора срок действия ограничен периодом, вводимым администратором в возникающем текстовом поле (срок отсчитывается от времени создания TOTP-токена для конкретного пользователя).
    • при выключенном чекбоксе срок действия TOTP-токена не ограничен.

    Политика временной блокировки

    Количество неверных попыток ввода TOTPУстановить максимальное число попыток неверного ввода TOTP (по умолчанию 5).
    Интервал времени для подсчёт неверных попыток ввода TOTP (в секундах)

    Установить интервал времени в секундах (по умолчанию 30).

    За установленное время Система подсчитывает количество неверных попыток ввода пароля и блокирует доступ к фактору аутентификации или УЗ (в зависимости от настроек) после определенного числа ошибочных попыток. 

    Бессрочная блокировкаУстановленный флажок включает бессрочную блокировку фактора аутентификации или УЗ пользователя (если установлен флажок "Блокировать учетную запись пользователя")  после исчерпания попыток ввода TOTP.
    Период блокировки (в секундах)

    Установить в секундах временной период блокировки фактора аутентификации или УЗ пользователя (если установлен флажок "Блокировать учетную запись пользователя") после исчерпания попыток ввода TOTP.

    Блокировать учетную запись пользователяУстановленный флажок включает блокировку УЗ пользователя после исчерпания попыток ввода TOTP.
  5. Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").


Обсуждение