Описание личного кабинета

Общее описание

Личный кабинет администратора MULTIFACTOR необходим для того, чтобы управлять вашими ресурсами, пользователями и их группами.

Это краткое руководство поможет вам разобраться в функционале и раскроет все возможности управления сервисом многофакторной аутентификации.

Главная

На главной странице представлена краткая сводка о проекте.

Изменение логотипа на главной странице ЛК позволит персонализировать страницу входа в веб-приложения для ваших пользователей.

Контакты на главной странице Личного кабинета будут отображаться вашим пользователям в случае возникновения проблем с использованием сервиса. Вы можете указать как номер телефона, так и электронную почту.

Ресурсы

В этом разделе осуществляется управление вашими информационными ресурсами и системами с многофакторной аутентификацией.

Для добавления доступны ресурсы 4-х типов: "Сайт", "Сетевой экран", "ОС/Сервер" и "Прочее".

1. Для работы с типом ресурса "Сайт" представлены следующие варианты решений:

   • Веб-сайт;
   • Self-Service портал;
   • SAML-приложение;
   • OAuth / OpenID-приложение;
   • Yandex.Cloud;
   • Outlook Web Access.

   Работа с ресурсами "Веб-сайт" ведется через API, а для аутентификации используются API Key и API Secret.

   Работа с ресурсами "SAML" осуществляется по SAML протоколу, между ресурсом и Мультифактором устанавливается взаимное доверие путем обмена публичными сертификатами.

   Работа с ресурсами "OAuth / OpenID" осуществляется по протоколу OAuth, для аутентификации используются Client ID и Client Secret.

2. Для работы с типом ресурса «Сетевой экран»:

   • Cisco;
   • CheckPoint;
   • FortiGate;
   • S-Terra;
   • UserGate;
   • NGate;
   • Mikrotik;
   • Другой.

   Если вашего сетевого оборудования нет в списке, используйте тип ресурса "Другой", который является универсальным.

3. Для работы с типом ресурсов «ОС/Сервер»:

   • Linux;
   • Windows;
   • OpenVPN;
   • Windows Remote Access and VPN;
   • Windows RD Gateway;
   • Windows Network Policy;
   • VMware Horizon;
   • Citrix Gateway.

   Для ресурсов этого типа работа построена с использованием Radius сервера, для аутентификации в нем нужны параметры NAS-Identifier и Shared Secret.

4. Тип ресурса «Прочее» включает в себя:

   • LDAP приложение;
   • СКДПУ АйТи Бастион;
   • Точка доступа Wi-Fi.

   Ресурсы типа "LDAP приложение" использует LDAP Proxy компонент, для аутентификации в нем нужны параметры NAS-Identifier и Shared Secret.

Вы можете добавить необходимый вам тип ресурса, а в разделе настроек просмотреть данные для аутентификации и отредактировать название или адрес ресурса.

Админы и поддержка

В этом разделе ведется управление администраторами вашей системы. Предусмотрена ролевая система доступов. Роли:

• Admin: все полномочия;
• Support 1: доступ только для чтения к разделам "Пользователи" и "Запросы доступа";
• Support 2: доступ к разделам "Пользователи" и "Запросы доступа" с возможностью отправки ссылки на настройку второго фактора и отключения способов аутентификации пользователя;
• Support 3: доступ к разделам "Пользователи" и "Запросы доступа", полное управление пользователями за исключением импорта и экспорта.
• Support 4: включает в себя все полномочия Support 3 с возможностью пропускать пользователей без аутентификации.

При добавлении администратору придёт ссылка для первого входа, при переходе по которой он сможет установить пароль и настроить многофакторную аутентификацию.

Любого администратора, кроме себя, можно заблокировать.

Пользователи

В этом разделе отображаются ваши пользователи.

По умолчанию, сюда добавляются все ваши пользователи, которых вы направили на двухфакторную аутентификацию, но вы можете добавить пользователя вручную или массово импортировать пользователей из CSV или TXT файла.

При добавлении пользователя вы можете указать его имя и логин в системе, настроить принадлежность его к той или иной группе пользователей. При этом автоматически созданные пользователи попадают в системную группу All Users.

Для пользователей без указанного в явном виде имени мы подтягиваем имя из Telegram в случае, если они подключили этот метод аутентификации.

Есть возможность фильтрации пользователей по имени, группам и дополнительным фильтрам:

• Заблокированные;
• Без настроенного второго фактора;
• Без e-mail;
• Ни разу не подключались;
• Не подключались более 30 дней.

При просмотре пользователя вы можете узнать данные его регистрации, последнего входа, статус и настройки доступа, настроенные методы аутентификации. Пользователя можно заблокировать или удалить, если вы не хотите, чтобы он аутентифицировался с помощью Multifactor. Также можно изменить данные в профиле пользователя и отвязать настроенные методы аутентификации.

Вы можете отправить пользователю ссылку для настройки аутентификации, если он по какой-то причине не включил многофакторную аутентификацию ранее.

Сама настройка доступов пользователя производится с помощью редактирования доступов для групп.

Статусы пользователей:

• Активный - пользователь прошел регистрацию и подключил 2FA
• Приглашение отправлено - пользователь ожидает подключения 2FA
• Заблокирован - пользователь заблокирован администратором проекта
• Временно заблокирован - пользователь временно заблокирован после нескольких неудачных попыток входа
• Приостановлено - пользователь приостановлен ввиду недостаточного количества лицензий в проекте

Группы

По умолчанию вам доступна одна системная группа доступа All Users. В нее попадают новые пользователи, созданные автоматически.

При создании и редактировании группы вы можете указать:

• название группы;
• время жизни токена доступа;
• в каком случае запрашивать второй фактор;
• методы аутентификации, доступные пользователям этой группы (не забудьте оставить доступным хотя бы один);
• ресурсы, к которым группа имеет доступ;
• IP-адреса или подсети, с которых разрешено подключение к ресурсам;
• дни недели, в которые доступ для этой группы пользователей разрешен.

Безусловный и условный запрос второго фактора

Доступны 2 варианта логики запроса второго фактора:

• Безусловная

  • Всегда запрашивать;
  • Никогда не запрашивать;

• Условная

  • Запрашивать, если IP пользователя в списке (черный список);
  • Не запрашивать, если IP пользователя в списке (белый список).

  Последние два режима "Запрашивать, если IP пользователя в списке" и "Не запрашивать, если IP пользователя в списке" представляют соответственно черный и белый списки. Диапазоны IP предварительно настраиваются в разделе "Настройки" -> "Диапазоны IP".

При вычислении итоговой политики учитываются настройки всех групп, в которых находится пользователь – системной "AllUsers" и пользовательских групп.

• при использовании в группах пользователей безусловной логики, настройки в пользовательских группах имеют более высокий приоритет, чем в системной группе AllUsers. При этом "Никогда не запрашивать" выше в приоритете, чем "Всегда запрашивать";

• при использовании в группах пользователей разных логик (условная/безусловная), условная логика всегда выше в приоритете, чем безусловная;

• логика с черным списоком ("Запрашивать, если IP пользователя в списке") приоритетнее логики с белым списком ("Не запрашивать, если IP пользователя в списке").

  Итоговую политику запроса второго фактора и доступа к ресурсам для каждого пользователя можно проверить в деталях пользователя.

  

Запросы доступа

В этом разделе администратор системы видит все запросы доступов своих пользователей.

Вы можете использовать фильтр для удобства отслеживания доступов конкретного пользователя к интересующим вас ресурсам. В том числе, за определенный период времени.

В детализированной информации о запросе доступа вы сможете найти следующие данные:

• ресурс, к которому пользователь получал доступ;
• какой способ аутентификации был выбран;
• в какое время пришёл запрос на авторизацию;
• отпечаток устройства, с которого производился запрос;
• IP адрес и геолокация.

Администратор может пропустить пользователя без авторизации. Для этого нужно зайти в детали запроса со статусом "Ожидается аутентификация" и нажать на кнопку "Пропустить без аутентификации". Данный метод сработает только в том случае, если время жизни токена еще не истекло, а пользователь не ушёл с экрана аутентификации.

Проект

В этом разделе вы можете задать описание профиля: название информационной системы и контакты администратора, к которому ваши пользователи могут обращаться за помощью.

Настройки

Раздел содержит 6 вкладок, которые вы можете настраивать под свои потребности: Учетные записи, СМС, Звонки, Расширенное API, Поставщики учетных записей, Диапазоны IP.

Учетные записи

Формат имени пользователя определяет, как MULTIFACTOR будет преобразовывать учетные записи для обработки и хранения.

Варианты могут быть:

• Без преобразования: имя пользователя обрабатывается как есть.

• Active Directory: из имени пользователя убирается название домена таким образом, что "domain\user", "user@domain.local" и "user" будут обрабатываться как "user".

  В разделе есть переключатель "а также переименовать пользователей и удалить дубликаты (безопасно)", чтобы переименовать существующих. Логика переименования:

  1. Если в системе существует больше 1 формата УЗ одного пользователя (domain\user, user, user@domain), то выбирается одна запись по критериям:
     • с привязанным 2fa
     • с последней датой входа
  2. Далее эта запись приводится в формат Active Directory (только логин - user), остальные форматы удаляются.

СМС

По умолчанию используется СМС-шлюз Мультифактор.

Есть возможность интегрировать собственный СМС-шлюз по HTTP-протоколу (GET, POST).

Звонки

По умолчанию используется АТС Мультифактора. Есть возможность интеграции по SIP-протоколу. Работа протестирована с АТС Asterisk (FreeBPX).

Расширенное API

Расширенное API позволяет управлять пользователями, ресурсами и настройками доступа к вашей системе через программный интерфейс. Если вы не планируете интегрировать расширенное API, не включайте доступ.

Также в нашей базе знаний есть инструкции по API для управления пользователями (субъектами доступа) и API для управления ресурсами (объектами доступа).

Поставщики учетных записей

В данной вкладке вы можете добавить и настроить SAML-поставщиков учетных записей для последующего их использования в SAML и OpenID-Connect ресурсах.

Диапазоны IP

В данной вкладке задаются диапазоны IP для использования в групповых политиках для управления запросом второго фактора на базе IP-пользователя.

Тариф и оплата

В этом разделе отображается информация о текущем тарифе, количестве доступных и использованных лицензий.

Система двухфакторной аутентификации MULTIFACTOR доступна бесплатно до 3-х пользователей (включительно).