Настройка двухфакторной аутентификации
Для обеспечения дополнительной защиты учетных записей пользователей IVA ID поддерживает режим двухфакторной аутентификации. Для входа в систему потребуется ввести данные учетной записи и одноразовый код, генерируемый одним из поддерживаемых мобильных аутентификаторов:
-
OTP Яндекс.Ключ
-
Google Authenticator
-
Microsoft Authenticator
Включение двухфакторной аутентификации
Для включения двухфакторной аутентификации необходимо выполнить следующие действия:
-
войти в панель администрирования IVA ID по адресу https://<IVA_ID_DOMAIN>/admin (где <IVA_ID_DOMAIN> — доменное имя IVA ID)
-
нажать Manage Realms и выбрать пространство (realm) IVA
-
дублировать встроенный сценарий:
Перейти в раздел Authentication → Нажать на browser → В выпадающем списке Action выбрать Duplicate → Заполнить поле Name (напримерbrowser with OTP) → Изменить поле Description (при необходимости) → Нажать кнопку Duplicate
После нажатия кнопки Duplicate автоматически открываются настройки созданного сценария -
настроить дублированный сценарий, созданный на предыдущем шаге (
browser with OTP):
Перейти в раздел Authentication и нажать на <NEW_FLOW> (если настройки сценария, созданного на предыдущем шаге, автоматически не открылись) → Выбрать browser with OTP Browser - Conditional 2FA → В выпадающем списке Requirement выбрать Required → Выбрать OTP Form → В выпадающем списке Requirement выбрать Required → В выпадающем списке Action выбрать Bind flow → В выпадающем списке Choose binding type выбрать Browser flow → Нажать кнопку Save
где <NEW_FLOW> — название сценария, созданного на предыдущем шаге (в нашем примере,
browser with OTP) -
проверить работу двухфакторной аутентификации:
Войти в IVA One с помощью учетной записи пользователя → Настройка мобильного аутентификатора → Просканировать QR-код любым из указанных мобильных аутентификаторов → Ввести одноразовый код из мобильного аутентификатора → Ввести имя устройства (при необходимости) → Включить флаговую кнопку Выполнить выход на других устройствах (при необходимости) → Нажать кнопку Подтвердить
Настройка исключений
| IVA ID позволяет настроить несколько сценариев и применять их для различных пользователей |
В IVA ID возможно создание роли, позволяющей отключать двухфакторную аутентификацию для пользователей.
Для этого необходимо:
-
нажать Manage Realms и выбрать пространство (realm) IVA
-
создать роль:
Перейти в раздел Realm roles → Нажать кнопку Create role → Заполнить поле Role Name (напримерexclude OTP) → Заполнить поле Description (при необходимости) → Нажать кнопку Save
-
дублировать сценарий browser with OTP:
Перейти в раздел Authentication → Нажать на browser with OTP → В выпадающем списке Action выбрать Duplicate → Заполнить поле Name (напримерbrowser with OTP with exclude) → Изменить поле Description (при необходимости) → Нажать кнопку DuplicateПосле нажатия кнопки Duplicate автоматически открываются настройки созданного сценария -
настроить сценарий, созданный на предыдущем шаге (
browser with OTP with exclude):-
Перейти в раздел Authentication и нажать на <COPY_FLOW> (если настройки сценария, созданного на предыдущем шаге, автоматически не открылись) Нажать на browser with OTP with exclude → Выбрать browser with OTP with exclude browser with OTP Browser - Conditional 2FA → Нажать кнопку
у всех вложенных объектов (Condition - user configured, OTP Form, WebAuthn Authenticator, Recovery Authenticator Code Form) → Подтвердить удаление нажав кнопку Deleteгде <COPY_FLOW> — название сценария, созданного на предыдущем шаге (в нашем примере,
browser with OTP with exclude)
-
Выбрать browser with OTP with exclude browser with OTP Browser - Conditional 2FA → Нажать кнопку
→ В выпадающем списке выбрать Add sub-flow → Заполнить поле Name (например sub) → Заполнить поле Description (при необходимости) → В выпадающем списке Flow type оставить Generic → Нажать кнопку Add
-
Выбрать browser with OTP with exclude browser with OTP Browser - Conditional 2FA → Нажать кнопку
→ В выпадающем списке выбрать Add condition → Включить флаговую кнопку Condition - user role → Нажать кнопку Add
-
Выбрать browser with OTP with exclude browser with OTP Browser - Conditional 2FA → Переместить правило Condition - user role над сценарием sub
-
Выбрать browser with OTP with exclude browser with OTP Browser - Conditional 2FA → Выбрать правило Condition - user role → Нажать кнопку
:
-
поле Alias: указать название конфигурации (например,
exclude OTP) -
поля Authenticator Reference и Authenticator Reference Max Age: оставить без изменений (поля пустые по умолчанию)
-
поле User Role: выбрать Realm roles → в открывшемся окне включить флаговую кнопку у роли exclude OTP → нажать кнопку Assign
-
переключатель Negate output: перевести в положение On
-
нажать кнопку Save
-
-
Выбрать browser with OTP with exclude browser with OTP Browser - Conditional 2FA → Выбрать сценарий sub → Нажать кнопку
→ В выпадающем списке выбрать Add condition → Включить флаговую кнопку Condition - user configured → Нажать кнопку Add
-
Выбрать browser with OTP with exclude browser with OTP Browser - Conditional 2FA → Выбрать сценарий sub → Нажать кнопку
→ В выпадающем списке выбрать Add execution → Включить флаговую кнопку OTP Form → Нажать кнопку Add
-
Выбрать browser with OTP with exclude browser with OTP Browser - Conditional 2FA → В выпадающем списке Requirement выбрать следующие значения:
-
browser with OTP with exclude browser with OTP Browser - Conditional 2FA: Conditional
-
Condition - user role: Required
-
sub: Required
-
Condition - user configured: Required
-
OTP Form: Required
-
-
-
сохранить настройки сценария:
В выпадающем списке Action выбрать Bind flow → В выпадающем списке Choose binding type выбрать Browser flow → Нажать кнопку Save -
добавить пользователю роль exclude OTP:
Перейти в раздел Users → Выбрать пользователя → Перейти во вкладку Role mapping → В выпадающем списке Assign role выбрать Realm roles → Включить флаговую кнопку exclude OTP → Нажать кнопку Assign
-
проверить отсутствие двухфакторной аутентификации:
Войти в IVA One с помощью учетной записи пользователя → Список чатов (двухфакторная аутентификация не запрашивается)