Настройка аутентификации через E-mail OTP


[ Общие сведения ] [ Настройка фактора программный Email ] [ Настройки SMTP-провайдеров ]

Общие сведения

Фактор аутентификации E-mail OTP – это один из методов двухфакторной аутентификации, который основан на использовании одноразового кода, полученного по электронной почте, для подтверждения своей личности при входе в Систему. Механизм доставки сообщений и аутентификации посредством одноразовых кодов (OTP), доставляемых по E-mail, осуществляет отправку сообщений через SMTP-шлюз.

OTP-код, направляемый пользователю, может использоваться однократно: повторное использование кода (или использование после истечения срока годности кода) невозможно.

Для использования метода аутентификации E-mail OTP необходимо указать в профиле сотрудника адрес его электронный почты, на который будет приходить код подтверждения. Привязка аутентификатора E-mail OTP возможна в следующих сценариях:

Если публикация выполнена через Nginx без TLS, по HTTP, то стоит учитывать возможность ошибок аутентификации. Для избежания этого следует:

  1. Настроить TLS, к примеру, посредством Nginx, выполнив публикацию по HTTPS.
  2. Или же разрешить использование cookies без флага secure.

Для настройки второго варианта в конфигурационный файл config.toml (расположен по пути /opt/idp/config.toml) необходимо добавить секцию: 

[cookie]
path = '/'
secure = false
http_only = true
same_site = 'None'
max_age = 2592000

После добавления секции также следует перезапустить службу idp.

Настройка фактора программный Email

Настройка метода аутентификации Email осуществляется в административной консоли Avanpost FAM Server следующим образом:

  1. Войти в раздел "Настройки методов аутентификации" режима "Сервис".
  2. Нажать кнопку "Добавить метод аутентификации". 
  3. Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".
    ПараметрОписание
    НазваниеВвести название.
    Фактор аутентификацииВыбрать "Email".
    Метод активен

    Заполнить чекбокс:

    • при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
    • при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
  4. Установить параметры метода согласно таблице ниже.
    ПараметрНастройка
    Название метода отображаемое пользователям

    Ввести название метода для отображения пользователям.

    Ключ-тэг

    Ввести уникальный тэг (используется для ориентации в логах).

    Фактор аутентификацииEmail
    Метод активен

    Установить чекбокс:

    • При установленном чекбоксе метод аутентификации активен и может использоваться.
    • При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.

    Настройки привязки фактора

    Разрешить Inline-привязку с помощью других факторов

    Заполнить чекбокс:

    • при включенном чекбоксе пользователь имеет возможность привязывать дополнительные факторы непосредственно в процессе аутентификации;
    • при выключенном чекбоксе у пользователя отсутствует привязывать факторы в процессе аутентификации.

    Основные настройки

    Включить DEBUG-режим (одноразовый пароль выводится в лог, без отправки пользователю)

    Заполнить чекбокс:

    • При установленном флаге включается отправку одноразового пароля в лог.
    • При установленном флаге отправка пароля пароля в лог не производится.

    Функция направлена на возможность проверки правильности генерации одноразового пароля.

    Длина одноразового пароля (TOTP)Установить число символов одноразового пароля (по умолчанию 6).
    Срок действия одноразового пароля (в секундах)Установить время действия одноразового пароля в секундах (по умолчанию 60). 
    Количество попыток ввода одноразового пароляУстановить максимальное число попыток неверного ввода одноразового пароля (по умолчанию 3).
    Интервал времени ожидания для повторного запроса кода

    Установить интервал времени ожидания для повторного запроса кода (по умолчанию 60 секунд).

    Заголовок сообщения (subject)Ввести текстовый заголовок сообщения (по умолчанию "Подтвердите вход в систему").
    HTML-шаблон сообщения (body)

    Записать HTML-шаблон для установки дополнительных параметров аутентификации

    (например, вставка OTP-кода и/или атрибутов пользователя).

    или воспользоваться предзаполненным стандартным шаблоном: "Для входа в систему воспользуйтесь кодом {{.Code}} или перейдите по ссылке {{.URL}}", 

    Шаблон может содержать плейсхолдеры: 

    Плейсхолдер {{.Code}} является переменной, которая может быть заполнена конкретным числовым кодом в момент отправки сообщения. При отправке сообщения на Email значение плейсхолдера будет заменено на соответствующий код.

    Плейсхолдер {{.URL}} является переменной, которая может быть заполнена временной ссылкой. Сервер генерирует временный токен аутентификации, передающийся через параметры в URL-адресе. При открытии ссылки токен отправляется на сервер и фактор Email считается успешно пройденным.

  5. Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").

Настройки SMTP-провайдеров

Avanpost FAM предоставляет администратору функциональность настройки SMTP-провайдеров через интерфейс административной консоли. SMTP-провайдер представляет собой настраиваемый почтовый сервер, через который FAM отправляет уведомления пользователям по электронной почте.

Управление SMTP-провайдерами в административной консоли проводится в подразделе "Настройки SMTP-провайдеров" раздела "Настройки отправки уведомлений и OTP-кодов", доступного из режима "Сервис". Подраздел содержит следующую информацию и возможности:

  • Реестр SMTP-провайдеров со следующими данными:
    • # – порядковый номер провайдера;
    • Наименование – Название провайдера;
    • Адрес сервера – Адрес SMTP-сервера;
    • Приоритет – Числовое значение приоритета (порядка использования).
  • Кнопка "Добавить SMTP-провайдер" – Нажать для добавления нового провайдера.

Для добавления нового SMTP-провайдера необходимо нажать кнопку "Добавить SMTP-провайдер" и задать следующие параметры.

ПараметрЗначение
Наименование Произвольное наименование для идентификации провайдера
Приоритет

Числовое значение (по умолчанию 100), определяющее порядок использования провайдера при отправке почты.

При выборе того, какой SMTP-провайдер будет использоваться для отправки сообщений, первым назначается провайдер с более высоким приоритетом. Если приоритет у провайдеров одинаковый, один из них выбирается случайно. Если задано отрицательное значение приоритета (например, -1), SMTP-провайдер не будет использоваться.

Хост SMTP-сервера DNS-имя или IP-адрес SMTP-сервера.
Порт SMTP-сервера

Номер порта, по которому происходит подключение к SMTP-серверу.

По умолчанию используется значение 25 (стандартный порт для SMTP), но также используется 465 (для SMTPS), 587 (для STARTTLS) и пр. в зависимости от конфигурации SMTP-сервера.

SMTP-логинИмя пользователя для аутентификации на SMTP-сервере. Поле является обязательным для заполнения (если требуется оставить поле пустым, необходимо отредактировать его в профиле созданного SMTP-провайдера).
SMTP-парольПароль для аутентификации на SMTP-сервере. Поле является обязательным для заполнения (если требуется оставить поле пустым, необходимо отредактировать его в профиле созданного SMTP-провайдера).
Email-адрес учётной записи (отправителя)Адрес электронной почты, который будет указан в поле «От кого» при отправке писем (для обеспечения корректности формата ввода электронной почты выполняется валидация вводимого значения).
Включить проверку сертификата сервера и имени хоста в этом сертификате (TLS)

Флаг, определяющий, требуется ли проверка TLS-сертификата SMTP-сервера:

  • при включенном флаге выполняется проверка TLS-сертификата SMTP-сервера;
  • при выключенном флаге не выполняется проверка TLS-сертификата SMTP-сервера.
Минимальная версия TLS (если используется)

 Выбор минимальной поддерживаемой версии протокола TLS для шифрования соединения (не рекомендуется использовать устаревшие версии TLS 1.0 и TLS 1.1):

  • TLS 1.0;
  • TLS 1.1;
  • TLS 1.2;
  • TLS 1.3.
Максимальная версия TLS (если используется)

Выбор максимальной поддерживаемой версии протокола TLS для шифрования соединения:

  • TLS 1.0;
  • TLS 1.1;
  • TLS 1.2;
  • TLS 1.3.

Для сохранения настроенного SMTP-провайдера нажать кнопку "Сохранить", для отказа от изменений кнопку "Отменить".

Для редактирования ранее созданного SMTP-провайдера требуется перейти в его профиль, нажав на наименование искомого провайдера в разделе "Настройки SMTP-провайдеров".  В профиле следует нажать, внести необходимые изменения и нажать кнопку "Сохранить" для сохранения изменений или кнопку "Отменить" для отказа от изменений. При редактировании SMTP-провайдера доступны следующие параметры.

ПараметрЗначение
Отправить тестовое сообщение 

Используется для проверки корректности настройки SMTP-провайдера. Для проверки следует ввести в текстовое поле Email, на котором планируется проверка. и нажать кнопку "Отправить тестовое сообщение". После нажатия кнопки на указанный Email должно прийти тестовое письмо.

НаименованиеПараметры соответствуют настраиваемым в процессе создания нового SMPT-провайдера.
Приоритет
Хост SMTP-сервера
Порт SMTP-сервера
Email-адрес учётной записи (отправителя)
Включить проверку сертификата сервера и имени хоста в этом сертификате (TLS)
Минимальная версия TLS (если используется)
Максимальная версия TLS (если используется)

Новый логин для SMTP-провайдера

Поле для изменения логина для подключения к SMTP-серверу. Доступно для редактирования после нажатия кнопки . После ввода нового значения следует нажать "Сохранить" для сохранения или "Отмена" для отказа от изменений.

Смена пароля
Новый пароль для SMTP-провайдера

Поле для изменения пароля для подключения к SMTP-серверу. Доступно для редактирования после нажатия кнопки . После ввода нового значения следует нажать "Сохранить" для сохранения или "Отмена" для отказа от изменений.

Для удаления ранее настроенного SMTP-провайдера требуется нажать и подтвердить (или отменить действие).

Обсуждение