5.4.3. Настройка метода SMS OTP

[ ] [ Общие сведения ] [ Настройка фактора SMS OTP ] [ Привязка фактора аутентификации к профилю пользователя ]

Общие сведения

Фактор аутентификации SMS OTP – это один из методов двухфакторной аутентификации, который основан на использовании одноразового кода, полученного из текстового сообщения (SMS), для подтверждения своей личности при входе в Систему.

Для использования метода аутентификации SMS OTP необходимо указать в профиле сотрудника его номер телефона, на который будет приходить код подтверждения. Также доступна функциональность подтверждения номера телефона посредством механизма SMS OTP. 

Привязка аутентификатора SMS OTP возможна в следующих сценариях:

• Привязка в процессе аутентификации посредством ввода номера телефона и его подтверждения при помощи одноразового кода, отправляемого по SMS на номер телефона.
• Привязка в личном кабинете Avanpost FAM посредством ввода или корректировки номера телефона и подтверждением при помощи одноразового кода, отправляемого по SMS на номер телефона.
• Привязка в административной консоли Avanpost FAM посредством указания администратором корректного номера телефона сотрудника.
• Автоматическая привязка на основе факта импорта атрибута пользователя из доверенного источника, к примеру, в результате LDAP-синхронизации (например, в рамках LDAP-синхронизации с Microsoft Active Directory).

Настройка фактора SMS OTP

Настройка метода аутентификации SMS осуществляется в административной консоли Avanpost FAM Server следующим образом:

1. Войти в раздел "Настройки методов аутентификации" режима "Сервис".
2. Нажать кнопку "Добавить метод аутентификации". 
3. Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".

   Параметр	Описание
   Название	Ввести название.
   Фактор аутентификации	Выбрать "SMS".
   Метод активен	Заполнить чекбокс: при включенном чекбоксе метод можно использовать сразу после его создания и настройки; при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.

4. Установить параметры метода согласно таблице ниже.

   Параметр	Настройка
   Название метода отображаемое пользователям	Ввести название метода для отображения пользователям.
   Ключ-тэг	Ввести уникальный тэг (используется для ориентации в логах).
   Фактор аутентификации	SMS
   Метод активен	Заполнить чекбокс: При установленном чекбоксе метод аутентификации активен и может использоваться. При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.
   Использовать по умолчанию	Заполнить чекбокс:  При включенном чекбоксе данный метод будет использоваться как основной (по умолчанию), если настроены другие методы аутентификации типа SMS.  При выключенном чекбоксе в качестве метода по умолчанию может использоваться другой метод аутентификации типа SMS.  Если в Avanpost FAM настроено несколько методов с фактором SMS и ни один не настроен методом по умолчанию, то: При аутентификации в Avanpost FAM у пользователя имеется возможность выбора метода (названия, видимые пользователем, соответствуют значению параметра "Название метода отображаемое пользователям"). В прочих случаях (например, когда требуется выбрать значение параметра "Интервал времени ожидания для повторного запроса SMS" при неуспешной аутентификации пользователя) метод выбирается случайным образом.
   Настройки привязки фактора
   Разрешить Inline-привязку с помощью других факторов	Заполнить чекбокс: при включенном чекбоксе пользователь имеет возможность привязывать дополнительные факторы непосредственно в процессе аутентификации; при выключенном чекбоксе у пользователя отсутствует привязывать факторы в процессе аутентификации.
   Основные настройки
   Включить DEBUG-режим	Заполнить чекбокс: При установленном флаге включается отправку одноразового пароля в лог. При установленном флаге отправка пароля пароля в лог не производится. Функция направлена на возможность проверки правильности генерации одноразового пароля.
   Используемый протокол	HTTP/HTTPS
   Интервал времени ожидания для повторного запроса SMS (в секундах)	Установить время (в секундах) после отправки SMS, через которое можно будет запросить отправку SMS повторно  (по умолчанию 60).
   Игнорировать таймаут и разрешить отправку SMS сразу после успешного входа	Заполнить чекбокс: При установленном флаге включается таймер на запрет повторного запроса SMS сбрасывается после успешной авторизации пользователя, и метод может использоваться вновь; При выключенном флаге даже после успешной авторизации пользователь не может повторно использовать метод до истечения таймера (настройка в параметре "Интервал времени ожидания для повторного запроса SMS"). Рекомендуется устанавливать флаг в случаях (при условии соблюдения внутренних политик безопасности организации), когда пользователи вскоре после успешной авторизации в Avanpost FAM с использованием фактора SMS аутентифицируются в другом приложении, используя фактор SMS.
   Длина одноразового пароля (TOTP)	Установить число символов одноразового пароля (по умолчанию 6).
   URL-адрес SMS-шлюза	Ввести URL-адрес, используемый для отправки и получения SMS-сообщений через SMS-шлюз.
   HTTP-метод запроса	Выбор метода запроса зависит от API SMS-шлюза. GET – при выборе данного метода заполнение атрибутов тела запроса не требуется.  POST (по умолчанию). PUT.
   Заголовок Content-Type	Для определения типа данных и параметров, передаваемых в теле запроса ввести заголовок Content-Type по форме:  application/json – для передачи данных в формате JSON. application/x-www-form-urlencoded – для передачи данных из HTML-форм.
   Фактор доступен только для пользователей с подтвержденным номером телефона	Заполнить чекбокс: При установленном флаге фактор аутентификации по SMS может использоваться только пользователями с подтвержденным номером телефона; При выключенном флаге фактор аутентификации по SMS может использоваться всеми пользователями. Установленный флажок включает доступность фактора SMS только для пользователей с подтвержденным номером телефона.
   Атрибуты строки запроса (HTTP Query String)	Задать атрибуты строки запроса и их значения при помощи таблицы (для добавления дополнительных полей нажать ). Таблица атрибутов, содержит следующие параметры: Ключ - Наименование атрибута в Avanpost FAM; Значение - Значение атрибута. Значение может содержать плейсхолдеры:  {{.PhoneNumber}} {{.Code}} {{index .Extra "имя_атрибута"}} Плейсхолдер {{.PhoneNumber}} является переменной, которая может быть заполнена конкретным значением телефонного номера в момент отправки сообщения. При отправке сообщения на конкретный номер телефона значение плейсхолдера будет заменено на соответствующий номер телефона. Плейсхолдер {{index .Extra}} должен содержать дополнительный атрибут пользователя, например, "name". Возможно, потребуется добавить перед плейсхолдером префикс, если он отличается от записанного в БД или этого требует API шлюза (например, +7{{.PhoneNumber}} ) Плейсхолдер {{.Code}} является переменной, которая может быть заполнена конкретным числовым  кодом в момент отправки сообщения. При отправке сообщения на номер телефона значение плейсхолдера будет заменено на соответствующий код. Для получения значения дополнительного атрибута пользователя нужно использовать следующий шаблон в параметрах: index .Extra "имя_атрибута", например, {{index .Extra "name"}}.
   Атрибуты тела запроса (HTTP Body/Payload)
   Тело запроса содержит массив объектов JSON	Установить флаг в случае, если значение атрибута содержит массив из одного или нескольких объектов.
   Атрибуты заголовка запроса (HTTP Header)	Задать атрибуты заголовка запроса (при необходимости) и их значения при помощи таблицы (для добавления дополнительных полей нажать ). Таблица атрибутов, содержит следующие параметры: Ключ - Наименование атрибута в Avanpost FAM; Значение - Значение атрибута. Например: Authorization: Basic <credentials> для передачи информации об авторизации в SMS-шлюзе.
   Политика временной блокировки
   Количество неверных попыток ввода TOTP	Задать максимальное количество неверных попыток ввода TOTP-кода, после которых возможность аутентификации блокируется для пользователя.
   Интервал времени для подсчёта неверных попыток ввода TOTP (в секундах)	Интервал времени, в течении которого пользователь должен превысить количество неверных попыток ввода TOTP-кода, чтобы его заблокировали.
   Бессрочная блокировка	Заполнить чекбокс: При установленном флаге пользователь, превысивший количество неверных попыток ввода TOTP, блокируется бессрочно. При вылюченном флаге пользователь, превысивший количество неверных попыток ввода TOTP, блокируется на заданный период.
   Период блокировки (в секундах)	Период, на который блокируется пользователь при превышении количества неверных попыток ввода TOTP. Доступно при выключенном флаге в параметре "Бессрочная блокировка".
   Блокировать учетную запись пользователя	Заполнить чекбокс: При установленном флаге у пользователя, превысившего количество неверных попыток ввода TOTP, блокируется УЗ. При вылюченном флаге у пользователя, превысившего количество неверных попыток ввода TOTP, не блокируется УЗ.

5. Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").

Привязка фактора аутентификации к профилю пользователя

Привязка фактора аутентификации к профилю пользователя производится в ЛК системы Avanpost FAM. Для этого необходимо:

1. Зайти в профиль сотрудника, указать номер телефона и подтвердить его. 
2. Перейти в режим "Факторы аутентификации" и выбрать иконку "SMS OTP".
   
   
   
   
3. Нажать "Выслать код" и ввести код подтверждения, полученный в SMS-сообщении. 
4. Отправить введенный код с помощью кнопки "Проверить".