Двухфакторная аутентификация

Позволяет аутентифицировать пользователей, использующих VPN-подключение.

Название службы раздела Двухфакторная аутентификация: ideco-web-authd. Список служб для других разделов доступен по ссылке.

Если перевести раздел Двухфакторной аутентификации в положение включен, аутентификация всех пользователей по VPN-подключению будет осуществляться через двухфакторную аутентификацию, вне зависимости от наличия сохраненного номера телефона в карточке пользователя.

При включенной двухфакторной аутентификации невозможен доступ из сетей, находящихся за подключенным пользователем, без NAT на стороне клиента.

В Ideco UTM реализовано три типа двухфакторной аутентификации:

TOTP-токен - аутентификация сканированием QR-кода или использованием токена.
SMS Aero - аутентификация при помощи вода кода из СМС.
Мультифактор - аутентификация подтверждением личности в стороннем приложении.

Для двухфакторной авторизации SMS Aero и Мультифактор требуется указать номер телефона в карточке пользователя.

Настройки Ideco UTM c разными типами аутентификации

Для работы двухфакторной аутентификации выполните действия:

1. Укажите домен в Ideco NGFW для перенаправления запроса 2FA с IP-адреса Ideco NGFW на конкретный домен:

Перейдите в раздел Пользователи -> Авторизация.
Включите веб-аутентификацию.
Введите домен в поле Доменное имя Ideco UTM.

Если веб-аутентификация не нужна, то ее можно отключить, оставив домен в поле Доменное имя Ideco UTM.

2. Включите нужные типы аутентификации:

Перейдите в раздел Пользователи -> Двухфакторная аутентификация;
Включите нужный тип аутентификации, зарегистрируйтесь в нужных сервисах и заполните соответствующие поля:

TOTP-токен

Флаг Разрешить инициализацию секретного ключа из внешних сетей разрешит генерацию QR-кода в личном кабинете пользователя из внешней сети.

SMS Aero

Зарегистрируйтесь в личном кабинете SMS Aero.

1. Перейдите в раздел Пользователи -> Учетные записи.

2. Откройте карточку пользователя и убедитесь, что заполнено поле Телефон и установлен флаг Разрешить удаленный доступ через VPN.

3. Перейдите в раздел Пользователи -> VPN-подключение, установите и сохраните необходимые настройки.

4. Перейдите во вкладку Основное, установите и сохраните необходимые настройки.

5. Перейдите во вкладку Двухфакторная аутентификация и переведите опцию в левом верхнем углу в положение включен.

6. Введите e-mail и API-ключ от личного кабинета SMS Aero и нажмите Сохранить.

Мультифактор

Зарегистрируйтесь в системе управления Мультифактором, установите приложение Multifactor и активируйте его, отсканировав QR-код. Помимо приложения Multifactor для аутентификации можно использовать Telegram, Яндекс.Ключ, Биометрию и U2F. Подробное описание регистрации и аутентификации этими методами доступно в документации Multifactor.

1. Заполните API Key и API Secret. Скопировать значение полей можно в личном кабинете Multifactor (Настройки -> Расширенное API -> Включить API).

2. Нажмите Сохранить.

Для дальнейшей аутентификации пользователям потребуется установить и настроить приложения, указанные администратором в настройках группы. Корректировать способы аутентификации для пользователей можно в личном кабинете Multifactor, в разделе Группы -> Параметры -> Редактировать.

3. Установите флаг Разрешить удаленный доступ через VPN в карточке пользователя или карточке папки.

Настройка аутентификации на пользовательских устройствах

Для настройки определенного типа аутентификации на устройстве воспользуйтесь инструкциями ниже:

TOTP-токен

Для аутентификации пользователю потребуется отсканировать QR-код или использовать токен.

Важно: Пользователь может генерировать TOTP-токен без включения двухфакторной авторизации.

1. Настройте VPN-подключение на устройстве, воспользовавшись инструкцией.

2. Войдите в личный кабинет NGFW, указав логин и пароль пользователя.

3. Нажмите кнопку Настроить двухфакторную аутентификацию и далее Сгенерировать QR-код:

4. Войдите в приложение для аутентификации, отсканируйте код или введите ключ настройки (расположен под QR-кодом). При вводе ключа настройки выберите тип ключа По времени. Если выбрать тип По счетчику, то пользователь не сможет аутентифицироваться.

Если вернуться в личный кабинет, не отсканировав QR-код, то повторно он появится только после сброса секретного ключа в карточке пользователя.

5. Подключитесь по VPN, зайдите на любой сайт, отличный от личного кабинета пользователя, и введите код из приложения в появившееся поле:

SMS Aero

1. Проведите настройку VPN-подключения на устройстве, воспользовавшись инструкцией.

2. Если требуется, чтобы подключение использовалось только для ресурсов подключаемой сети, то убедитесь, что настройки VPN-подключения соответствуют следующим пунктам:

Для Windows:

Перейдите в раздел Параметры сети и интернет -> VPN -> Настройка параметров адаптера;
Нажмите правой кнопкой мыши по созданному подключению и выберите Свойства;
Перейдите во вкладку Сеть;
Нажмите на IP версии 4 (TCP/IPv4) -> Свойства -> Дополнительно;
Снимите флаг с пункта Использовать основной шлюз из удалённой сети;
Нажмите ОК.

Для Ubuntu:

Перейдите в раздел Настройки -> Сеть;
Откройте настройки VPN-подключения;
Перейдите во вкладку IPv4;
Установите флаг в пункте Использовать это подключение для ресурсов этой сети.

3. Включите созданное VPN-подключение.

4. При переходе в браузер откроется страница аутентификации:

5. Нажмите Отправить код подтверждения. На указанный в учетной записи номер телефона поступит СМС с кодом:

Если номер телефона в карточке пользователя отсутствует, то на странице аутентификации появится предупреждение:

Если номер телефона в карточке пользователя сохранен, то на указанный номер телефона поступит СМС. Введите код из СМС и нажмите Подтвердить:

Если код указан неверно, то появится соответствующее предупреждение:

6. Если подключение успешно выполнено, то появится следующее окно:

Для настройки таймкодов отправки сообщений перейдите в личный кабинет SMS Aero во вкладку Настройки и переведите опцию Исключать множественную отправку в положение включен. Затем введите лимит и период отправки сообщений:

Мультифактор

1. Проведите настройку VPN-подключения на устройстве, воспользовавшись инструкцией.

2. Включите созданное VPN-подключение.

3. При переходе в браузер откроется страница аутентификации:

4. После нажатия Далее появится страница с предложением установить приложение на устройство. Если приложение установлено, нажмите Далее.

5. Отсканируйте QR-код или откройте ссылку, появившуюся на экране.

Аутентификация

1. Нажмите Выполнить вход:

2. В окне Двухфакторная аутентификация можно менять способ аутентификации:

3. В зависимости от выбранного способа, подтвердите вход.

PreviousИнструкция по запуску PowerShell скриптов NextIdeco агент

Last updated 7 months ago