Настройка двухфакторной аутентификации 1с-Bitrix24
В статье описывается настройка 1с-Bitrix24 для защиты пользовательского входа в систему двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
Telegram
Звонок (нужно принять вызов и нажать #)
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor LDAP Adapter.
Схема работы
- Пользователь подключается к Bitrix24, вводит логин и пароль на странице входа;
- AD/LDAP клиент Bitrix24 по протоколу LDAP подключается к компоненту MultiFactor LDAP Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory или OpenLDAP и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа выбранным способом аутентификации.
Перед началом работы
- Убедитесь, что на сервере с Bitrix24 открыты порт 389 TCP (LDAP) и 636 TCP (LDAPS) для отправки запросов на сервер MultiFactor LDAP Adapter;
- В Bitrix24 установлен модуль "AD/LDAP";
Настройка Мультифактора
- Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новое LDAP приложение;
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Загрузите и установите MultiFactor LDAP Adapter.
Настройка Bitrix24
Зайдите в панель управления Bitrix24.
Создание AD/LDAP интеграции
В разделе Настройки > AD/LDAP нажмите Добавить.
Во вкладке "Сервер":
- Активен: включите флажок
- Название: Ldap Adapter
- Сервер:порт: адрес и порт компонента MultiFactor LDAP Adapter в формате ldap-url
- Тип подключения: выберите "SSL" для порта 636 или "Без шифрования" для порта 389
- Логин пользователя с правами доступа на чтение к дереву: учётная запись сервисного пользователя (например, CN=binduser,DC=domain,DC=com)
- Пароль: пароль сервисного пользователя
- Корень дерева (base DN): DC=domain,DC=com
- Сетевой таймаут: 40
Сервисный пользователь должен быть добавлен в список сервисных учётных записей в настройках MultiFactor LDAP Adapter для исключения запроса у него второго фактора.

Во вкладке "Настройки полей":
- Выберите схему сервера AD или LDAP;
- В секции "Соответствие полей пользователя и атрибутов LDAP" задайте таблицу соответствия полей LDAP сервера пользовательским полям Bitrix24.
Если в вашем AD/LDAP каталоге пользователям не присвоен атрибут mail/email, то соответствие поля email
необходимо удалить.
Во вкладке "Синхронизация" включите флажок "Создавать несуществующих пользователей".
Нажмите Сохранить.
Настройки модуля AD/LDAP
В разделе Настройки > Настройки продукта > Настройки модулей в выпадающем списке сверху выберите AD/LDAP интеграция.
На вкладке "Настройки":
- E-mail для пользователей, у которых он не указан: nomail@domain.com
- Сервер домена по умолчанию: Ldap Adapter
- Создавать новых пользователей при первой успешной авторизации: включите
- Проверять авторизацию на всех доступных ldap серверах, если в логине не указан префикс: включите
- Создавать пользователя, если пользователь с таким логином уже существует: выключите
Нажмите Сохранить.

Смотрите также: