- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- Windows Logon
- MacOS logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Описание личного кабинета
Общее описание
Личный кабинет администратора MULTIFACTOR необходим для того, чтобы управлять вашими ресурсами, пользователями и их группами.
Это краткое руководство поможет вам разобраться в функционале и раскроет все возможности управления сервисом многофакторной аутентификации.
Вход
Вы можете зарегистрироваться, нажав на соответствующую гиперссылку
Вход доступен по логину\паролю, а также через mail.ru почту или ваш аккаунт Google. В случае утери пароля вы можете восстановить его самостоятельно в окне входа. В случае невозможности подтверждения 2FA, например замена телефона, обратитесь к другому администратору. Ему нужно будет удалить администратора с потерянным методом подтверждения и отправить ссылку на регистрацию по новой. Если вы являетесь единственным администратором, напишите на почту support@multifactor.ru с уточнением, что вы единственный администратор и просьбой сбросить метод подтверждения 2FA.
Главная
На главной странице представлена краткая сводка о проекте.
Изменение логотипа на главной странице ЛК позволит персонализировать страницу входа в веб-приложения для ваших пользователей.
Контакты на главной странице Личного кабинета будут отображаться вашим пользователям в случае возникновения проблем с использованием сервиса. Вы можете указать как номер телефона, так и электронную почту.
Ресурсы
В этом разделе осуществляется управление вашими информационными ресурсами и системами с многофакторной аутентификацией.
Для добавления доступны ресурсы 4-х типов: «Сайт», «Сетевой экран», «ОС/Сервер» и «Прочее».
Вы можете добавить необходимый вам тип ресурса, а в разделе настроек просмотреть данные для аутентификации и отредактировать название или адрес ресурса.
Админы и поддержка
В этом разделе ведётся управление администраторами вашей системы. Предусмотрена ролевая система доступов. Роли:
- Admin: все полномочия;
- Support 1: доступ только для чтения к разделам «Пользователи» и «Запросы доступа»;
- Support 2: доступ к разделам «Пользователи» и «Запросы доступа» с возможностью отправки ссылки на настройку второго фактора и отключения способов аутентификации пользователя;
- Support 3: доступ к разделам «Пользователи» и «Запросы доступа», полное управление пользователями за исключением импорта и экспорта.
- Support 4: включает в себя все полномочия Support 3 с возможностью пропускать пользователей без аутентификации.
При добавлении администратору придёт ссылка для первого входа, при переходе по которой он сможет установить пароль и настроить многофакторную аутентификацию.
Любого администратора, кроме себя, можно заблокировать.
Пользователи
В этом разделе отображаются ваши пользователи.
По умолчанию, сюда добавляются все ваши пользователи, которых вы направили на двухфакторную аутентификацию, но вы можете добавить пользователя вручную или массово импортировать пользователей из CSV или TXT файла.
При добавлении пользователя вы можете указать его имя и логин в системе, настроить принадлежность его к той или иной группе пользователей. При этом автоматически созданные пользователи попадают в системную группу All Users.
Для пользователей без указанного в явном виде имени мы подтягиваем имя из Telegram в случае, если они подключили этот метод аутентификации.
Есть возможность фильтрации пользователей по имени, группам и дополнительным фильтрам:
- Заблокированные;
- Без настроенного второго фактора;
- Без e-mail;
- Ни разу не подключались;
- Не подключались более 30 дней.
При просмотре пользователя вы можете узнать данные его регистрации, последнего входа, статус и настройки доступа, настроенные методы аутентификации. Пользователя можно заблокировать или удалить, если вы не хотите, чтобы он аутентифицировался с помощью MULTIFACTOR. Также можно изменить данные в профиле пользователя и отвязать настроенные методы аутентификации.
Вы можете отправить пользователю ссылку для настройки аутентификации, если он по какой-то причине не включил многофакторную аутентификацию ранее. При отправке настраивается время жизни ссылки, максимальное значение 48 часов (2880 минут).
Сама настройка доступов пользователя производится с помощью редактирования доступов для групп.
Статусы пользователей:
- Активный — пользователь прошел регистрацию и подключил 2FA
- Приглашение отправлено — пользователь ожидает подключения 2FA
- Заблокирован — пользователь заблокирован администратором проекта
- Временно заблокирован — пользователь временно заблокирован после нескольких неудачных попыток входа
- Приостановлено — пользователь приостановлен ввиду недостаточного количества лицензий в проекте
Группы
По умолчанию вам доступна одна системная группа доступа All Users. В нее попадают новые пользователи, созданные автоматически.
При создании и редактировании группы вы можете указать:
- название группы;
- время жизни токена доступа;
- в каком случае запрашивать второй фактор;
- методы аутентификации, доступные пользователям этой группы (не забудьте оставить доступным хотя бы один);
- ресурсы, к которым группа имеет доступ;
- IP-адреса или подсети, с которых разрешено подключение к ресурсам;
- дни недели, в которые доступ для этой группы пользователей разрешён.
Безусловный и условный запрос второго фактора
Доступны 2 варианта логики запроса второго фактора:
- Безусловная
- Всегда запрашивать
- Никогда не запрашивать
2. Условная
- Запрашивать, если IP пользователя в списке (черный список)
- Не запрашивать, если IP пользователя в списке (белый список)
Последние два режима «Запрашивать, если IP пользователя в списке» и «Не запрашивать, если IP пользователя в списке» представляют соответственно черный и белый списки. Диапазоны IP предварительно настраиваются в разделе «Настройки» → «Диапазоны IP».
При вычислении итоговой политики учитываются настройки всех групп, в которых находится пользователь — системной «AllUsers» и пользовательских групп.
- при использовании в группах пользователей безусловной логики, настройки в пользовательских группах имеют более высокий приоритет, чем в системной группе AllUsers. При этом «Никогда не запрашивать» выше в приоритете, чем «Всегда запрашивать»;
- при использовании в группах пользователей разных логик (условная/безусловная), условная логика всегда выше в приоритете, чем безусловная;
- логика с чёрным списком («Запрашивать, если IP пользователя в списке») приоритетнее логики с белым списком («Не запрашивать, если IP пользователя в списке»).
Итоговую политику запроса второго фактора и доступа к ресурсам для каждого пользователя можно проверить в деталях пользователя.
Запросы доступа
В этом разделе администратор системы видит все запросы доступов своих пользователей.
Вы можете использовать фильтр для удобства отслеживания доступов конкретного пользователя к интересующим вас ресурсам. В том числе, за определенный период времени.
В детализированной информации о запросе доступа вы сможете найти следующие данные:
- ресурс, к которому пользователь получал доступ;
- какой способ аутентификации был выбран;
- в какое время пришёл запрос на авторизацию;
- отпечаток устройства, с которого производился запрос;
- IP адрес и геолокация.
Администратор может пропустить пользователя без авторизации. Для этого нужно зайти в детали запроса со статусом «Ожидается аутентификация» и нажать на кнопку «Пропустить без аутентификации». Данный метод сработает только в том случае, если время жизни токена еще не истекло, а пользователь не ушёл с экрана аутентификации.
Проект
В этом разделе вы можете задать описание профиля: название информационной системы и контакты администратора, к которому ваши пользователи могут обращаться за помощью.
Настройки
Раздел содержит 6 вкладок, которые вы можете настраивать под свои потребности: Учётные записи, СМС, Звонки, Расширенное API, Поставщики учетных записей, Диапазоны IP.
Учётные записи
Формат имени пользователя определяет, как MULTIFACTOR будет преобразовывать учётные записи для обработки и хранения.
Варианты могут быть:
Без преобразования: имя пользователя обрабатывается как есть.
Active Directory: из имени пользователя убирается название домена таким образом, что «domain\user», «user@domain.local» и «user» будут обрабатываться как «user». В разделе есть переключатель «а также переименовать пользователей и удалить дубликаты (безопасно)», чтобы переименовать существующих. Логика переименования:
- Если в системе существует больше 1 формата УЗ одного пользователя (domain\user, user, user@domain), то выбирается одна запись по критериям:
- с привязанным 2FA
- с последней датой входа
- Далее эта запись приводится в формат Active Directory (только логин - user), остальные форматы удаляются.
- Если в системе существует больше 1 формата УЗ одного пользователя (domain\user, user, user@domain), то выбирается одна запись по критериям:
СМС
По умолчанию используется СМС-шлюз MULTIFACTOR. Мультифактор отправляет HTTP запрос (POST / GET ) на шлюз. Поддерживаются все основные способы авторизации.
В параметрах запроса передается телефон и код доступа (6 цифр).
Если это наш провайдер, то используется логика, зашитая в наш сервис sms.
Если же сервис внешний, то вот список токенов, вместо которых наш сервис подставляет значения. Эти токены можно использовать, например, при указании аргументов запроса во внешний сервис. Запрос GET имеет формат QUERY. Настраивает администратор заказчика в ЛК.
Из HTTP методов доступны GET и POST
В режиме POST появляются два поля:
- Значение заголовка Content-Type
- Тело запроса в формате JSON
Звонки
По умолчанию используется АТС MULTIFACTOR. Есть возможность интеграции по SIP-протоколу. Работа протестирована с АТС Asterisk (FreeBPX).
Расширенное API
Расширенное API позволяет управлять пользователями, ресурсами и настройками доступа к вашей системе через программный интерфейс. Если вы не планируете интегрировать расширенное API, не включайте доступ.
Также в нашей базе знаний есть инструкции по API для управления пользователями (субъектами доступа) и API для управления ресурсами (объектами доступа).
Поставщики учетных записей
В данной вкладке вы можете добавить и настроить SAML-поставщиков учётных записей для последующего их использования в SAML и OpenID-Connect ресурсах.
Диапазоны IP
В данной вкладке задаются диапазоны IP для использования в групповых политиках для управления запросом второго фактора на базе IP-пользователя.
Журнал
В данной вкладке отображаются действия админов. В ней отображаются следующие действия:
- Вход в админ-панель
- Удаление/Создание/Изменение ресурса
- Удаление/Создание/Изменение группы
- Удаление/Добавление/Изменение сотрудника
- Удаление/Создание/Изменение списка IP-адресов
- Изменение формата имён учётных записей
- Запуск переименования учётных записей/удаления дубликатов
- Отображение секрета ресурса
- Включение/Выключение API
- Изменение секрета API
- Отображение секрета API
- Отправка ссылки на настройку 2FA
Тариф и оплата
В этом разделе отображается информация о текущем тарифе, количестве доступных и использованных лицензий.
Система двухфакторной аутентификации MULTIFACTOR доступна бесплатно до 3-х пользователей (включительно).
