Настройка аутентификации

Начало работы

Вы находитесь на странице входа в вашу информационную систему. Введите ваш логин и, при необходимости, пароль.

Вы увидите приглашение настроить методы аутентификации. Необходимо настроить хотя бы один метод многофакторной аутентификации. Дополнительные методы можно будет добавить позже.

Вам будут показаны одобренные вашим администратором методы аутентификации. Выберите любой, подходящий для вас и переходите к настройке.

При настройке и входе в систему учитывайте, что ваш администратор устанавливает максимальное время, за которое вы должны это сделать. По умолчанию оно составляет 20 минут.

Добавление дополнительных способов

В дальнейшей работе вы можете добавить дополнительные методы аутентификации. Для этого во время процесса авторизации на вашем портале нажмите на три точки в верхнем правом углу формы, выберите пункт «Способы аутентификации», и пройдите двухфакторную аутентификацию. После этого откроется возможность добавлять дополнительные способы.

Мобильное приложение Multifactor

Для настройки аутентификации через Мобильное приложение нажмите «Добавить аккаунт» в разделе «Мобильное приложение».

Сервис сгенерирует для вас QR-код, который будет необходимо отсканировать с помощью приложения Multifactor для платформ iOS или Android, или открыть специальную ссылку на телефоне с установленным приложением Multifactor.

В приложении нажмите на кнопку добавления нового аккаунта (кнопка +), разрешите приложению доступ к камере (при запросе) и отсканируйте QR-код.

Настройка защищённого экрана блокировки

Мобильное приложение Multifactor требует использования защищённого экрана блокировки вашего устройства для корректной работы. В случае, если на устройстве отключена блокировка одним из безопасных методов, приложение Multifactor выдаст ошибку при запуске:

Для продолжения работы выполните следующие настройки:

1. Android
   1. Перейдите в раздел «Настройки» → «Экран блокировки» → «Тип блокировки экрана»;
   2. Настройте один из следующих типов блокировки:
      • рисунок (графический ключ);
      • PIN-код;
      • пароль;
      • биометрические данные (лицо или отпечатки пальцев).

Обратите внимание

Приложение Multifactor для Android не работает с небезопасными типами блокировки экрана (например, «Провести по экрану»).

2. iOS
   1. Перейдите в раздел «Настройки» → «Face ID и код-пароль»;
   2. Настройте один из следующих типов блокировки:
      • код-пароль;
      • Face ID (или Touch ID, в зависимости от устройства)
        
        
        В случае использования этого метода, включите переключатель «Разблокировка iPhone».

Обратите внимание

Приложение Multifactor для iOS не работает с небезопасными типами блокировки экрана. Например, простая автоблокировка экрана (в разделе «Настройки» → «Экран и яркость») при отсутствии кода-пароля.

Дублирование пуш уведомления на все привязанные устройства

Настройка:

1. Создать новую группу пользователей или изменить уже существующую;

2. В настройках группы пользователей, в разделе «Мобильное приложение», включить опцию “Если у пользователя нет возможности выбрать устройство, отправлять пуш-уведомления на все доступные”

   
   

3. Если в ресурсе можно выбрать поведение перед проверкой второго фактора то необходимо установить его в следующее положение:

Если у пользователя несколько устройств и пуши были отправлены на каждое из них, то после того как пользователь нажмет на первый пуш (потвердит или опровергнет вход) действия в других пушах будут проигнорированы.

Telegram

Для настройки аутентификации через Telegram нажмите «Добавить имя» в соответствующем разделе.

Мы покажем вам страницу со ссылкой на скачивание приложения Telegram и QR кодом для добавления бота, который будет проводить вашу аутентификацию.

Если вы пользуетесь мобильной версией мессенджера, отсканируйте с помощью телефона QR код на странице. Откройте отсканированную ссылку в Telegram, скопировав её или используя выбор приложения для открытия ссылки.

Если вы пользуетесь версией Telegram для компьютера, скопируйте ссылку из текста «данную ссылку», нажав правую кнопку мышки, и выбрав пункт «Скопировать адрес ссылки». Отправьте ссылку самим себе в закладки в мессенджере и перейдите по ней.

Вы увидите окно взаимодействия с ботом @MultifactorBot. Нажмите «Старт», чтобы зарегистрировать ваш аккаунт Telegram как метод для двухфакторной аутентификации.

Обратите внимание

Идентификатор бота — @MultifactorBot. Бот доступен по ссылке https://t.me/MultifactorBot.

После успешной регистрации этого метода аутентификации бот уведомит вас в сообщении.

Вы можете вернуться на страницу добавления методов аутентификации и убедиться, что ваш аккаунт Telegram теперь используется, как дополнительный метод аутентификации.

eXpress

Развертывание MF.Express.Bot

MF.Express.Bot — это локально развёртываемый компонент на стороне заказчика, предназначенный для интеграции корпоративного мессенджера Express (на платформе BotX) с централизованным сервисом MultiFactor Express API.

Архитектура развертывания:

• Централизованные сервисы (не требуют развертывания у заказчика):
  • MF.Express.API — внешний сервис, доступен по адресу express-service.multifactor.ru.
  • MultiFactor Core Service — основное ядро системы многофакторной аутентификации.
• Локальные компоненты (развертываются на стороне заказчика):
  1. MF.Express.Bot.
  2. Express Messenger (BotX Platform) — при условии его отсутствия в текущей инфраструктуре.

Требования

Системные требования:

1. Docker Engine: 20.10+
2. Docker Compose: 3.8+ (опционально)
3. ОС: Linux, Windows Server 2019+, macOS
4. Порты: 8080 (настраиваемый)

Требования к сетевой связности:

Программные требования

1. Доступ к реестру контейнеров Docker Registry: требуется для получения Docker-образа компонента MF.Express.Bot.
2. (Опционально) Kubernetes 1.20+ для оркестрации.

Схема работы

На стороне заказчика:

1. BotX Platform (Express Messenger) – ваш корпоративный мессенджер.
   • Отправляет JWT-защищенные webhook’и боту при действиях пользователей.
   • Принимает push-уведомления для отправки пользователям.
2. MF.Express.Bot – локальный сервис-посредник.
   • Развертывается у каждого заказчика отдельно.
   • Обрабатывает команды от пользователей.
   • Взаимодействует с централизованным MF.Express.API.

На стороне MultiFactor:

1. MF.Express.API – единый централизованный сервис express-service.multifactor.ru.
   • Обрабатывает логику аутентификации для всех заказчиков.
2. MultiFactor Core Service – ядро системы многофакторной аутентификации.

Регистрация бота в BotX Platform

Важно

BotX Platform — это часть корпоративного мессенджера Express, который развертывается у заказчика.

Войдите в административную панель Express по адресу: https://ваш-express-сервер/admin/

Используйте учетные данные администратора.

1. В интерфейсе панели перейдите в раздел управления ботами: https://<ваш-express-сервер>/admin/botx/bots.
2. Инициируйте создание новой записи, нажав кнопку «Создать» или «Создать нового бота».

Заполните обязательные параметры в форме создания где:

• Идентификатор бота (APP ID): задайте уникальное, понятное имя для идентификации бота в системе.
  • Пример: mf-auth-bot
• Bot API URL (Callback URL): укажите публичный URL, по которому будет доступен развернутый экземпляр MF.Express.Bot.
  • Пример: https://express-bot.your-domain.com/api
• Статус: Активируйте флажок «Включен».
• Сохраните конфигурацию, нажав кнопку «Сохранить». Остальные параметры формы можно оставить без изменений.

После успешного сохранения система автоматически сгенерирует и отобразит на странице бота следующие учетные данные, необходимые для работы интеграции:

1. Bot ID: Уникальный идентификатор в формате GUID.
   • Пример: ef45xx05-5xx5-x6fx-ae2b-xxxxxxxxxxxx
2. Bot Secret Key: Секретный ключ для подписи запросов.
   • Пример: xd99336xx966xxfxd8xxx7aaxxx2cxxb

Эти данные отобразятся на странице редактирования бота.

Важно

Убедитесь, что активирован флажок «Разрешить создавать чаты».

Дополнительные параметры:

• BotX API Base URL: Базовый URL вашего сервера Express Messenger.
  • Пример: https://<ваш-express-сервер>
• Expected Issuer (JWT Issuer): Доменное имя вашего сервера Express, используемое для проверки JWT-токенов.

Важно

Сохраните Bot ID и Bot Secret Key в безопасном месте (менеджер паролей, vault).
Эти данные потребуются для конфигурации MF.Express.Bot

Получение Docker образа

Компонент доступен вместе с исходным кодом, распространяется бесплатно.
Актуальная версия находится на GitHub: код и сборка.

# 1. Клонирование репозитория
git clone https://github.com/MultifactorLab/mf-express-bot.git
cd mf-express-bot

# 2. Выбор версии для сборки
# Для production-среды рекомендуется использовать стабильный релиз
git checkout tags/v1.0.0  # Замените `v1.0.0` на актуальный номер версии

# Альтернативно: для получения последних изменений используйте основную ветку
# git checkout main

# 3. Сборка Docker-образа
cd src
docker build -t mf-express-bot:latest -f Dockerfile .

# 4. Верификация успешной сборки
docker images | grep mf-express-bot

Параметры конфигурации (переменные окружения)

Конфигурация компонента MF.Express.Bot осуществляется через переменные окружения. Разделитель между уровнями конфигурации — двойное подчеркивание (__).

Развёртывание

# Создайте директорию для развертывания
mkdir mf-express-bot-deploy
cd mf-express-bot-deploy

cat > .env << 'EOF'
# BotX Platform (ОБЯЗАТЕЛЬНО)
# Получите эти данные из административной панели вашего Express сервера
EXPRESSBOT__BOTID=your-bot-id-from-botx-admin
EXPRESSBOT__BOTSECRETKEY=your-bot-secret-key-from-botx-admin
EXPRESSBOT__BOTXAPIBASEURL=https://ваш-express-сервер
EXPRESSBOT__EXPECTEDISSUER=ваш-express-сервер

# MultiFactor Express API (ОБЯЗАТЕЛЬНО)
# Централизованный сервис MultiFactor
MFEXPRESSAPI__BASEURL=https://express-service.multifactor.ru

# Environment
ASPNETCORE_ENVIRONMENT=Production
EOF

version: '3.8'

services:
  express-bot:
    image: mf-express-bot:latest
    container_name: mf-express-bot
    env_file:
      - .env
    ports:
      - "8080:8080"
    volumes:
      - ./logs:/app/Logs
    restart: unless-stopped
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:8080/health/live"]
      interval: 30s
      timeout: 3s
      start_period: 15s
      retries: 3

# Запуск в фоновом режиме
docker-compose up -d

# Проверка статуса контейнера
docker-compose ps

# Просмотр логов в реальном времени
docker-compose logs -f express-bot

# Проверка жизнеспособности (liveness)
curl http://localhost:8080/health/live

# Проверка готовности к работе (readiness)
curl http://localhost:8080/health/ready

{"status":"Healthy",...}

docker run -d \
  --name mf-express-bot \
  -p 8080:8080 \
  -e ASPNETCORE_ENVIRONMENT=Production \
  -e EXPRESSBOT__BOTID="ваш-bot-id-из-botx" \
  -e EXPRESSBOT__BOTSECRETKEY="ваш-секретный-ключ-бота" \
  -e EXPRESSBOT__BOTXAPIBASEURL="https://адрес-вашего-express-сервера" \
  -e EXPRESSBOT__EXPECTEDISSUER="домен-вашего-express-сервера" \
  -e MFEXPRESSAPI__BASEURL="https://express-service.multifactor.ru" \
  -v /var/log/mf-express-bot:/app/Logs \
  --restart unless-stopped \
  mf-express-bot:latest

yaml
apiVersion: v1
kind: Namespace
metadata:
  name: mf-express

---
apiVersion: v1
kind: Secret
metadata:
  name: botx-credentials
  namespace: mf-express
type: Opaque
stringData:
  bot-id: "your-bot-id"
  bot-secret-key: "your-secret-key"

---
apiVersion: v1
kind: ConfigMap
metadata:
  name: express-bot-config
  namespace: mf-express
data:
  # Адрес вашего Express сервера (замените на реальный)
  EXPRESSBOT__BOTXAPIBASEURL: "https://ваш-express-сервер"
  EXPRESSBOT__EXPECTEDISSUER: "ваш-express-сервер"
  # Централизованный сервис MultiFactor (НЕ меняйте без необходимости)
  MFEXPRESSAPI__BASEURL: "https://express-service.multifactor.ru"
  ASPNETCORE_ENVIRONMENT: "Production"

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: mf-express-bot
  namespace: mf-express
spec:
  replicas: 2
  selector:
    matchLabels:
      app: mf-express-bot
  template:
    metadata:
      labels:
        app: mf-express-bot
    spec:
      containers:
      - name: mf-express-bot
        image: mf-express-bot:latest
        ports:
        - containerPort: 8080
          name: http
        env:
        - name: EXPRESSBOT__BOTID
          valueFrom:
            secretKeyRef:
              name: botx-credentials
              key: bot-id
        - name: EXPRESSBOT__BOTSECRETKEY
          valueFrom:
            secretKeyRef:
              name: botx-credentials
              key: bot-secret-key
        envFrom:
        - configMapRef:
            name: express-bot-config
        livenessProbe:
          httpGet:
            path: /health/live
            port: 8080
          initialDelaySeconds: 15
          periodSeconds: 30
          timeoutSeconds: 3
          failureThreshold: 3
        readinessProbe:
          httpGet:
            path: /health/ready
            port: 8080
          initialDelaySeconds: 10
          periodSeconds: 10
          timeoutSeconds: 3
          failureThreshold: 3
        startupProbe:
          httpGet:
            path: /health/startup
            port: 8080
          initialDelaySeconds: 5
          periodSeconds: 5
          timeoutSeconds: 3
          failureThreshold: 12
        resources:
          requests:
            memory: "512Mi"
            cpu: "250m"
          limits:
            memory: "1Gi"
            cpu: "1000m"
        volumeMounts:
        - name: logs
          mountPath: /app/Logs
      volumes:
      - name: logs
        emptyDir: {}

---
apiVersion: v1
kind: Service
metadata:
  name: mf-express-bot
  namespace: mf-express
spec:
  type: ClusterIP
  selector:
    app: mf-express-bot
  ports:
  - port: 8080
    targetPort: 8080
    name: http

Health Checks

Сервис предоставляет три endpoint’а для проверки состояния:

curl http://localhost:8080/health/live

curl http://localhost:8080/health/ready

curl http://localhost:8080/health/startup

Логирование

Конфигурация логирования зависит от среды выполнения, задаваемой переменной ASPNETCORE_ENVIRONMENT.

Методы доступа к логам.

# Потоковый вывод логов в реальном времени
docker logs -f mf-express-bot
# Вывод последних 100 строк
docker logs --tail 100 mf-express-bot
# Просмотр логов в смонтированном томе (если настроено)
tail -f ./logs/express-bot-*.log

docker-compose logs -f express-bot

# Потоковый вывод логов из пода
kubectl logs -f deployment/mf-express-bot -n mf-express
# Вывод логов за последний час
kubectl logs --since=1h deployment/mf-express-bot -n mf-express

Настройка интеграции в личном кабинете MultiFactor

Для настройки аутентификации через eXpress в Личном кабинете перейдите в раздел Настройки → Express Messenger→ Изменить

После чего откроется панель для настройки аутентификации через eXpress:

Где:

1. Воспроизводится включение\отключение самой аутентификации.
2. Необходимо указать идентификатор бота из панели администратора Express.
3. Ссылка на внешний URL адрес Вашего бота.
4. Постоянная ссылка для регистрации в боте eXpress. Подробнее тут.
5. Секретный ключ из панели администратора eXpress.
6. Проверка подключения.
7. Сохранение всех настроек.

После сохранения всех настроек, данный метод аутентификации станет доступным в способах аутентификации в группах Личного кабинета.

Также данный метод можно использовать и в Личном кабинете:

После запроса второго фактора, от бота придёт сообщение с подтверждением:

Биометрия и U2F

Для настройки аутентификации с помощью биометрических датчиков или токенов U2F и нажмите «Добавить Biometrical» в разделе «U2F и биометрия».

Система предложит вам выбрать один из факторов U2F аутентификации, в том числе биометрические датчики, при их наличии.

Следуйте инструкциям на экране, и вы добавите один из самых удобных способов дополнительной аутентификации.

Google Authenticator/Я.Ключ

Для настройки аутентификации с помощью Google Authenticator/Я.Ключа или любого другого программного токена нажмите «Добавить Google» в разделе Google Authenticator.

Сервис сгенерирует для вас QR код, который будет необходимо отсканировать с помощью Google Authenticator/Я.Ключа или любого другого приложения для генерации одноразовых кодов.

В приложении нажмите на кнопку добавления нового программного токена, разрешите ему доступ к камере при необходимости, и отсканируйте QR код.

После этого в приложении добавится новый генератор одноразовых кодов доступов.

Введите одноразовый код, который вы видите в приложении, на странице добавления аутентификатора для завершения процесса настройки аутентификации.

OTP-токен

Для настройки многофакторного доступа с помощью OTP-токена нажмите «Добавить новый OTP-токен».

Вместе с OTP-токеном вам был предоставлен его ключ. Введите его в первое поле. Затем установите курсор во второе поле и активируйте ваш токен.

HOTP-Токен JaCarta

Скачайте приложение Единый Клиент JaCarta, откройте его, зайдите в настройки ОТР и инициализируйте слот.

Примечание

Для привязки необходимо инициализировать непосредственно новый слот. При наличии старого слота, он должен быть очищен и инициализирован заново. Это необходимо для синхронизации счетчиков (в пункте «Значение счетчика» должен стоять 0).

При инициализации слота установите параметры слота:

• Тип слота: Одноразовый пароль
• Название слота: произвольно
• Алгоритм: выберете из списка 6 символьный код и алгоритм SHA1 или SHA256.
• Значение счетчика: 0

Важно

В настоящий момент MULTIFACTOR поддерживает только 6 символов, в отличие от JaCarta, которая поддерживает 6-8 символов.

В конце настройки сохраните данные из инициированного слота в файл и откройте файл в текстовом редакторе, найдите параметр sccKey.

Скопируйте найденный sccKey в форму привязки otp-устройства MULTIFACTOR.

Нажмите кнопку, указанную в инициализированном слоте, чтобы привязать устройство.

Примечание

Для последующего входа достаточно нажать кнопку на JaCarta и нажать Enter.

Рутокен

Установите на телефон с ОС Android приложение «Утилита инициализации Рутокен OTP». Приложение также доступно для Windows, но в этом случае вам потребуется отдельное устройство для считывания NFC.

В разделе «OTP-токены и приложения» нажмите Добавить OTP.

С помощью приложения «Утилита инициализации Рутокен OTP» отсканируйте появившийся QR-код.

Приложение считает секретный ключ, который затем необходимо записать на OTP-токен.

Включите NFC на телефоне и поднесите OTP-токен к телефону. Дождитесь вибрации и нажмите «Connect OTPCard». Если соединение установлено успешно, вы увидите сообщение «Connected successfully»

Важно

Не отсоединяйте токен от телефона во избежание разрыва соединения. Необходимо нажать «Burn Configuration», а затем «BurnSeed», после чего дождитесь сообщения об успешной записи секретного ключа на токен.

Выключите OTP-токен и заново включите его. Введите появившийся одноразовый код в поле и дождитесь завершения регистрации устройства в системе MULTIFACTOR.

После успешной привязки устройство будет отображаться в разделе «OTP-токены и приложения». Оно также будет доступно для выбора при аутентификации на защищенном ресурсе.

SMS

Для настройки аутентификации с помощью SMS нажмите «Добавить номер» в разделе СМС.

В открывшемся окне введите ваш номер в формате +71234567890.

Введите одноразовый код из пришедшей СМС. Срок действия кода СМС 30 секунд.