Настройка двухфакторной аутентификации 1с-Bitrix24

В статье описывается настройка 1с-Bitrix24 для защиты пользовательского входа в систему двухфакторной аутентификацией.

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• Telegram
• Звонок (нужно принять вызов и нажать #)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor LDAP Adapter.

Схема работы

1. Пользователь подключается к Bitrix24, вводит логин и пароль на странице входа;
2. AD/LDAP клиент Bitrix24 по протоколу LDAP подключается к компоненту MultiFactor LDAP Adapter;
3. Компонент проверяет логин и пароль пользователя в Active Directory или OpenLDAP и запрашивает второй фактор аутентификации;
4. Пользователь подтверждает запрос доступа выбранным способом аутентификации.

Перед началом работы

1. Убедитесь, что на сервере с Bitrix24 открыты порт 389 TCP (LDAP) и 636 TCP (LDAPS) для отправки запросов на сервер MultiFactor LDAP Adapter;
2. В Bitrix24 установлен модуль "AD/LDAP";

Настройка Мультифактора

1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новое LDAP приложение;
2. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
3. Загрузите и установите MultiFactor LDAP Adapter.

Настройка Bitrix24

Зайдите в панель управления Bitrix24.

Создание AD/LDAP интеграции

В разделе Настройки > AD/LDAP нажмите Добавить.

Во вкладке "Сервер":

• Активен: включите флажок
• Название: Ldap Adapter
• Сервер:порт: адрес и порт компонента MultiFactor LDAP Adapter в формате ldap-url
• Тип подключения: выберите "SSL" для порта 636 или "Без шифрования" для порта 389
• Логин пользователя с правами доступа на чтение к дереву: учётная запись сервисного пользователя (например, CN=binduser,DC=domain,DC=com)
• Пароль: пароль сервисного пользователя
• Корень дерева (base DN): DC=domain,DC=com
• Сетевой таймаут: 40

подсказка

Сервисный пользователь должен быть добавлен в список сервисных учётных записей в настройках MultiFactor LDAP Adapter для исключения запроса у него второго фактора.

Во вкладке "Настройки полей":

1. Выберите схему сервера AD или LDAP;
2. В секции "Соответствие полей пользователя и атрибутов LDAP" задайте таблицу соответствия полей LDAP сервера пользовательским полям Bitrix24.

важно

Если в вашем AD/LDAP каталоге пользователям не присвоен атрибут mail/email, то соответствие поля email необходимо удалить.

Во вкладке "Синхронизация" включите флажок "Создавать несуществующих пользователей".

Нажмите Сохранить.

Настройки модуля AD/LDAP

В разделе Настройки > Настройки продукта > Настройки модулей в выпадающем списке сверху выберите AD/LDAP интеграция.

На вкладке "Настройки":

• E-mail для пользователей, у которых он не указан: nomail@domain.com
• Сервер домена по умолчанию: Ldap Adapter
• Создавать новых пользователей при первой успешной авторизации: включите
• Проверять авторизацию на всех доступных ldap серверах, если в логине не указан префикс: включите
• Создавать пользователя, если пользователь с таким логином уже существует: выключите

Нажмите Сохранить.

Смотрите также:

• Настройка двухфакторной аутентификации VMware vCenter Server;
• Настройка двухфакторной аутентификации Redmine