Двухфакторная аутентификация HRBOX

Общие сведения

В статье описывается настройка двухфакторной аутентификации для HR-платформы HRBOX.

Платформа поддерживает федеративную аутентификацию по протоколу OAuth/OIDC, которая совместно с Мультифактором позволяет использовать единую базу пользователей и централизованно управлять доступом с мультифакторной аутентификацией.

Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль), в зависимости от настройки, могут быть:

• MultiDirectory
• Active Directory
• Yandex
• Google
• Локальные пользователи Мультифактор (только e-mail)
• Другие внешние SAML поставщики учётных записей

Схема работы

1. HRBOX и Мультифактор устанавливают взаимное доверие путем обмена настройками и секретом и настройкой единого адреса входа (Sigle Sign-On).
2. При запросе на аутентификацию, HRBOX переадресует пользователя на страницу Мультифактора.
3. Мультифактор отправляет пользователя на страницу поставщика учетных записей (Например, MultiDirectory)
4. После подтверждения первого фактора, Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в HRBOX.
5. Сопоставление пользователей происходит по полю email (должно быть заполнено).

Настройка Мультифактора

1. Зайдите в личный кабинет, в разделе Ресурсы создайте новый Сайт -> OAuth / OpenID приложения:

• Название: произвольное
• Адрес: [опционально] адрес вашего портала в HRBox. Например https://[ваш домен].hrbox.io/
• Поставщик учетных записей:
  • Active Directory — для учетных записей домена MultiDirectory;
  • Active Directory — для учетных записей домена Active Directory;
  • Google — для использования учетных записей Google;
  • Yandex — для использования учетных записей Яндекса;
  • Только e-mail — для использования локальных учетных записей Мультифактора (только e-mail, без пароля);
  • Другой — для использования учетных записей преднастроенных внешних поставщиков в разделе "Настройки" -> "Поставщики учетных записей";
• Адрес портала:
  • если выбран поставщик учетных записей MultiDirectory, то укажите адрес (внешний или внутренний) предварительно настроенного портала самообслуживания Мультифактор;
• Авторизованные URI переадресации укажите следующие ссылки: https://auth.hrbox.io/auth/oidc https://auth.hrbox.io/auth/oauth
• Вы можете включить самостоятельную настройку второго фактора при первом входе пользователя.

2. Сохраните настройки;
3. После создания вам будут доступны два параметра: Client ID и Client Secret, они потребуются для интеграции.

Настройка HRBOX

1. Зайдите на HR-платформу с правами администратора.

2. Перейдите в раздел Администрирование → Настройки → Настройки модулей → OAuth.

3. Нажмите +Добавить и заполните поля:

   • Название: МУЛЬТИФАКТОР
   • Издатель (URL адрес): https://api.multifactor.ru
   • Области (scope): openid email
   • Token URL: https://api.multifactor.ru/openid/token
   • Authorize URL: https://idp.multifactor.ru/oidc
   • ID пользователя: name
   • E-mail пользователя: rawUserName
   • Логин пользователя: sub
   • ID клиента: Client ID возьмите из параметров ресурса Мультифактор
   • Алгоритм шифрования: RS256
   • Секретный ключ: Client Secret возьмите из параметров ресурса Мультифактор
   • Публичный ключ: не требуется
   • Иконка: выберете свою иконку и название. Будет отражено на кнопке входа.
   • Пример настроек на скриншоте ниже:

4. Сохраните настройки.

5. Для проверки работы воспользуйтесь кнопкой Проверить подключение.

6. Вы можете регулировать подключенные способы авторизации в разделе Администрирование → Настройки → Основные : Авторизация.

Важно

Регистрация пользователей в HRBOX производится путем их приглашения. Автоматическая регистрация пользователей не поддерживается в данном протоколе.

Смотрите также:

• Настройка портала самообслуживания Мультифактор
• Настройка OpenID Connect / OAuth приложений Мультифактор.
• Настройка авторизации через сервисы SSO HRBOX.