- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI/SSH)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- Palo Alto GlobalProtect
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Способы аутентификации
Сводная таблица
| # | Способ | Требования | Использовать | Безопасность |
|---|---|---|---|---|
| 1 | Мобильное приложение Multifactor | Приложение на телефоне, доступ в интернет | Удобно | Максимальная |
| 2 | Универсальная web аутентификация с поддержкой биометрии | Устройство с биометрическим датчиком или внешний токен, современный браузер | Удобно | Очень высокая |
| 3 | Telegram Messenger | Приложение на телефоне, доступ в интернет | Удобно | Высокая |
| 4 | OTP Токен | Внешний токен | Зависит от токена | Высокая |
| 5 | HOTP Токен | Внешний Токен | Зависит от токена | Высокая |
| 6 | Google authenticator | Приложение на телефоне | Менее удобно | Высокая |
| 7 | СМС сообщение или звонок | Телефон | Менее удобно | Средняя |
Мобильное приложение Multifactor
Безопасный и удобный доступ к VPN, VDI, облачным приложениям, сайтам, персональным и корпоративным ресурсам в одном приложении: Multifactor. Доступно для платформ iOS и Android.
Регистрация
Пользователю необходимо отсканировать регистрационный QR-код с помощью приложения Multifactor, либо открыть специальную ссылку на телефоне с установленным приложением Multifactor.
Аутентификация
Пользователю приходит PUSH-уведомление с просьбой подтвердить действие и двумя кнопками в приложении: подтвердить или отклонить соответственно.
Универсальная web аутентификация с поддержкой биометрии
Набор протоколов: U2F (Universal Second Factor), UAF (Universal Authentication Framework) FIDO (Fast IDentity Online), CTAP (Client to Authenticator Protocol), объединенные в единый стандарт WebAuthn.
Стандарт работает прямо из браузера без установки стороннего программного обеспечения и драйверов. Поддерживает биометрические датчики и сканеры, а также внешние устройства аутентификации, подключаемые через USB, Lightning, NFC или Bluetooth, например, RuToken U2F.
Универсальная аутентификация поддерживается браузерами Chrome, Safari, Firefox, Edge, Opera на платформах Windows, Linux, MacOS и Android.
Регистрация
Пользователю будет предложено использовать биометрический датчик, если он есть на его телефоне или ноутбуке, либо подключить и активировать внешний токен после чего MULTIFACTOR получит публичные ключи устройств и сможет использовать их для аутентификации.
Аутентификация
Пользователь использует биометрию (отпечаток пальца, сканер лица), либо прикасается к внешнему токену — совершает осознанное действие.
Telegram Messenger
Telegram — один из наиболее удобных и защищенных мессенджеров в мире, который работает даже в условиях нестабильной интернет связи.
Регистрация
Для регистрации пользователю будет предложено открыть специальную ссылку на телефоне с установленным приложением Telegram, после чего в контакты будет автоматически добавлен бот @MultifactorBot. Внутри чата с ботом необходимо нажать кнопку «Start» для регистрации чата.
Обратите внимание
Идентификатор бота —
@MultifactorBot. Бот доступен по ссылке https://t.me/MultifactorBot.
Аутентификация
Пользователю приходит сообщение от бота с просьбой подтвердить действие и двумя кнопками: подтвердить или отклонить соответственно.
Маскирование логинов в Телеграм и мобильном приложении
Система маскирования
В сообщениях запросов в мобильном приложении и Телеграме вставляется логин пользователя, который по закону является личной информацией пользователя, а так как пользователь может пользоваться нашими продуктами из-за рубежа, то возникла необходимость иметь возможность скрывать эти данные.
Как работает
При включении данного функционала все нотификации, сообщения и другие формы вывода логина будут маскироваться.
Так выглядит сообщение бота в Телеграмме без маскирования:
А вот так с включённым маскированием:
Пример маскирования в мобильном приложении:
Включение функции
Для администраторов:
Для пользователей:
Для обычных пользователей данную функцию можно отдельно настраивать для каждой группы. Помните, если пользователь состоит в нескольких группах, то даже если данная функция будет включена в политиках только одной группы, то логин этого пользователя будет маскироваться.
Для того чтобы включить функцию зайдите во вкладку «Группы»:
Далее найдите в списке интересующую вас группу и нажмите для ней «Параметры» и вы увидите окно параметров для данной группы:
Нажмите «Редактировать» и в появившемся окне вы увидите список всех настраиваемых политик, найдите разделы «Мобильное приложение» и «Телеграм»:
OTP Токен
OTP токен — устройство для формирования одноразовых кодов доступа, обычно в виде брелка, который показывает цифры на экране, пример — Feitian c100 или в виде флешки, пример — RuToken OTP.
Второй формат более удобный, так как цифры не нужно перепечатывать: устройство определяется операционной системой, как клавиатура и автоматически вводит код в фокусное поле. С другой стороны, брелки с экраном не требуют подключения к компьютеру и работают полностью автономно.
Регистрация
Для регистрации OTP-токена необходимо загрузить в MULTIFACTOR ключ устройства и ввести очередной одноразовый код. По требованию, MULTIFACTOR может самостоятельно сформировать ключ устройства для последующей загрузки в токен.
Аутентификация
Пользователю необходимо ввести одноразовый код доступа, сформированный токеном.
HOTP Токен
HOTP (HMAC-based One-Time Password) токен — это метод генерации одноразового пароля (OTP), который зависит от счётчика. Каждый раз, когда пользователь входит, счетчик увеличивается, и OTP генерируется на основе этого счётчика.
Регистрация
Для регистрации HOTP токена необходимо сгенерировать секретный ключ, связать его с учетной записью пользователя и предоставить QR-код или секретный ключ для настройки аутентификации. После этого пользователь может использовать OTP для двухфакторной аутентификации при входе в систему. Пример в инструкции JaCarta.
Аутентификация
После всех проведенных настроек скопировать ключ в форму привязки otp-устройства MULTIFACTOR.
Google authenticator
Google Authenticator — самое популярное приложение для формирования одноразовых кодов доступа на телефонах Android и iPhone. Можно даже сказать, что это обобщенное название серии подобных способов аутентификации. Помимо Google Authenticator, такую же функцию выполняют Яндекс.Ключ, Microsoft Authenticator, а также некоторые менее известные приложения.
Регистрация
Пользователю будет предложено запустить приложение Google Authenticator или Яндекс.Ключ, сканировать QR код, содержащий ключ системы MULTIFACTOR и ввести одноразовый код доступа, сформированный приложением.
Аутентификация
Для аутентификации необходимо запустить приложение и ввести код доступа.
СМС-сообщение или звонок
Наиболее консервативный способ, который используется в системах многофакторной аутентификации много лет, считается устаревшим и не самым безопасным, но оставлен в системе MULTIFACTOR для случаев, когда прочие способы по разным причинам не используются. Разумеется, в настройках личного кабинета его можно выключить для всех пользователей или определенных групп.
Регистрация
Для регистрации пользователю будет предложено ввести номер телефона и одноразовый код из СМС-сообщения, отправленного системой MULTIFACTOR.
Аутентификация
Пользователю необходимо ввести одноразовый код доступа, полученный в СМС-сообщении, либо ответить на входящий звонок и нажать решетку.
