Двухфакторная аутентификация

Позволяет аутентифицировать пользователей только внешних сетей (VPN) с использованием второго фактора.

Название службы раздела Двухфакторная аутентификация: ideco-web-authd. Список служб для других разделов доступен по ссылке.

Для работы определенного типа аутентификации нужно включить его в разделе Пользователи -> VPN-подключения -> Двухфакторная аутентификация.

Для использования определенного типа 2FA создайте правило c этим типом в таблице Доступ по VPN.

При отключении типа аутентификации, который используется в таблице Доступ по VPN, будет выведено предупреждение Используется для доступа по VPN. При этом аутентификация пройдет без второго фактора.

В Ideco NGFW реализовано три типа двухфакторной аутентификации:

Для двухфакторной авторизации SMS Aero и Мультифактор требуется указать номер телефона в карточке пользователя.

Двухфакторная авторизация не работает для пользователей RADIUS-сервера.

При добавлении прав доступа по VPN группе пользователей RADIUS-сервера будет выведено предупреждение о том, что двухфакторная аутентификация запрещена для группы пользователей RADIUS-сервера:

Настройки Ideco NGFW c разными типами аутентификации

Для работы двухфакторной аутентификации выполните действия:

1. Укажите домен в Ideco NGFW для перенаправления запроса 2FA с IP-адреса Ideco NGFW на конкретный домен:

  • Перейдите в раздел Пользователи -> Авторизация;

  • Включите веб-аутентификацию;

  • Введите домен в поле Доменное имя Ideco NGFW.

2. Включите нужные типы аутентификации.

  • Перейдите в раздел Пользователи -> VPN-подключения -> Двухфакторная аутентификация;

  • Включите нужный тип аутентификации, зарегистрируйтесь в нужных сервисах и заполните соответствующие поля:

TOTP-токен

Флаг Разрешить инициализацию секретного ключа из внешних сетей разрешит генерацию QR-кода в личном кабинете пользователя из внешней сети.

SMS Aero

Зарегистрируйтесь в личном кабинете SMS Aero.

1. Перейдите в раздел Пользователи -> Учетные записи.

2. Откройте карточку пользователя и убедитесь, что заполнено поле Телефон.

3. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.

4. Перейдите во вкладку Основное, установите и сохраните необходимые настройки.

5. Перейдите во вкладку Двухфакторная аутентификация и переведите опцию в левом верхнем углу в положение включен.

6. Введите e-mail и API-ключ от личного кабинета SMS Aero и нажмите Сохранить.

Мультифактор

Для настройки и установки приложения может потребоваться VPN.

Зарегистрируйтесь в системе управления Мультифактором, установите приложение Multifactor и активируйте его, отсканировав QR-код. Помимо приложения Multifactor для аутентификации можно использовать Telegram, Яндекс.Ключ, Биометрию и U2F. Подробное описание регистрации и аутентификации этими методами доступно в документации Multifactor.

1. Заполните API Key и API Secret. Скопировать значение полей можно в личном кабинете Multifactor (Настройки -> Расширенное API -> Включить API).

2. Нажмите Сохранить.

Для дальнейшей аутентификации пользователям потребуется установить и настроить приложения, указанные администратором в настройках группы. Корректировать способы аутентификации для пользователей можно в личном кабинете Multifactor, в разделе Группы -> Параметры -> Редактировать.

3. Разрешите доступ по VPN нужным группам пользователей в таблице Доступ по VPN.

Настройка аутентификации на пользовательских устройствах

Для настройки определенного типа аутентификации на устройстве воспользуйтесь инструкциями ниже.

TOTP-токен

Для аутентификации пользователю потребуется отсканировать QR-код или использовать токен.

Важно: Пользователь может генерировать TOTP-токен без включения двухфакторной аутентификации в веб-интерфейсе Ideco NGFW.

1. Проведите настройку VPN-подключения на устройстве, воспользовавшись инструкцией.

2. Войдите в личный кабинет NGFW, указав логин и пароль пользователя.

3. Нажмите кнопку Настроить двухфакторную аутентификацию и далее Сгенерировать QR-код:

4. Войдите в приложение для аутентификации, отсканируйте код или введите ключ настройки (расположен под QR-кодом). При вводе ключа настройки выберите тип ключа По времени. Если выбрать тип По счетчику, то пользователь не сможет аутентифицироваться.

Если вернуться в личный кабинет, не отсканировав QR-код, то повторно он появится только после сброса секретного ключа в карточке пользователя.

5. Подключитесь по VPN, зайдите на любой сайт, отличный от личного кабинета пользователя, и введите код из приложения в появившееся поле:

SMS Aero

1. Проведите настройку VPN-подключения на устройстве, воспользовавшись инструкцией.

2. Если требуется, чтобы подключение использовалось только для ресурсов подключаемой сети, то убедитесь, что настройки VPN-подключения соответствуют следующим пунктам:

Для Windows:

  • Перейдите в раздел Параметры сети и интернет -> VPN -> Настройка параметров адаптера;

  • Нажмите правой кнопкой мыши по созданному подключению и выберите Свойства;

  • Перейдите во вкладку Сеть;

  • Нажмите на IP версии 4 (TCP/IPv4) -> Свойства -> Дополнительно;

  • Снимите флаг с пункта Использовать основной шлюз из удаленной сети;

  • Нажмите ОК.

Для Ubuntu:

  • Перейдите в раздел Настройки -> Сеть;

  • Откройте настройки VPN-подключения;

  • Перейдите во вкладку IPv4;

  • Установите флаг в пункте Использовать это подключение для ресурсов этой сети.

3. Включите созданное VPN-подключение.

4. При переходе в браузер откроется страница аутентификации:

5. Нажмите Отправить код подтверждения. На указанный в учетной записи номер телефона поступит СМС с кодом:

  • Если номер телефона в карточке пользователя отсутствует, то на странице аутентификации появится предупреждение:

  • Если номер телефона в карточке пользователя сохранен, то на указанный номер телефона поступит СМС. Введите код из СМС и нажмите Подтвердить:

Если код указан неверно, то появится соответствующее предупреждение:

6. Если подключение успешно выполнено, то появится следующее окно:

Для настройки таймкодов отправки сообщений перейдите в личный кабинет SMS Aero во вкладку Настройки и переведите опцию Исключать множественную отправку в положение включен. Затем введите лимит и период отправки сообщений:

Мультифактор

1. Проведите настройку VPN-подключения на устройстве, воспользовавшись инструкцией.

2. Включите созданное VPN-подключение.

3. При переходе в браузер откроется страница аутентификации:

4. После нажатия Далее появится страница с предложением установить приложение на устройство. Если приложение установлено, нажмите Далее.

5. Отсканируйте QR-код или откройте ссылку, появившуюся на экране.

Аутентификация

1. Нажмите Выполнить вход:

2. В окне Двухфакторная аутентификация можно менять способ аутентификации:

3. В зависимости от выбранного способа подтвердите вход.

Last updated