Двухфакторная аутентификация
В BPMSoft можно настроить двухфакторную аутентификацию для дополнительной проверки при авторизации внутренних пользователей.
Примечание. Внутренние пользователи — учетные записи сотрудников компании или пользователей портала, управление которыми осуществляется средствами BPMSoft. Исключения — учетные записи Supervisor и SysPortalConnection.
Двухфакторная аутентификация включает в себя использование двух методов проверки для подтверждения личности пользователя:
- Первый этап — аутентификация пользователя с использованием логина и пароля;
Рисунок 1 — Ввод логина и пароля
- Второй этап — дополнительное подтверждение аутентификации путем ввода секретного кода, который генерируется сторонним приложением.
Рисунок 2 — Подтверждение аутентификации с помощью секретного кода
Настройка двухфакторной аутентификации
По умолчанию в BPMSoft функция двухфакторной аутентификации отключена, поэтому для ее включения необходимо произвести следующие настройки:
- Включить двухфакторную аутентификацию;
- Произвести настройки прав на сброс двухфакторной аутентификации;
- Настроить время жизни QR-кода.
Настройка файла конфигурации
Примечание. По умолчанию изменения файла конфигурации не требуются, необходимые настройки уже произведены. Если BPMSoft развернута в облаке, изменение файла конфигурации выполняется силами специалистов BPMSoft по запросу.
- В корневом каталоге приложения BPMSoft найдите файл конфигурации. Для сборки на .NET Framework файл называется config, для .NET 8 — BPMSoft.WebHost.dll.config.
- Добавьте наименование провайдера InternalUserPasswordWithTotpProvider в конфигурацию auth для параметра providerNames.
<auth providerNames="InternalUserPassword,SSPUserPassword,InternalUserPasswordWithTotpProvider" autoLoginProviderNames="" defLanguage="ru-RU" defWorkspaceName="Default" useIPRestriction="false" loginTimeout="30000">
- Сохраните внесенные изменения в файле и перезапустите приложение.
Включение двухфакторной аутентификации пользователя
Для того, чтобы включить или выключить функцию двухфакторной аутентификации, необходимо выполнить следующие действия:
- Перейдите в раздел «Системные настройки» и откройте настройку «Использовать 2FA» (Enable2FA).
- Для активации или деактивации установите соответствующее значение признака «Значение по умолчанию».
- Сохраните изменения с помощью кнопки «Сохранить».
После этого функция двухфакторной аутентификации будет включена для внутренних пользователей BPMSoft, за исключением учетных записей Supervisor и SysPortalConnection.
Настройка прав на сброс секретного ключа двухфакторной аутентификации
Доступ к сбросу секретного ключа двухфакторной аутентификации у конкретного пользователя регулируется с помощью прав на операцию «Возможность сбросить 2FA» (CanReset2FA). По умолчанию доступ к этой операции не настроен, поэтому перед или после включения двухфакторной аутентификации важно выдать доступ к данной операции нужным ролям и/или пользователям. Для выдачи прав на операцию выполните следующие действия:
- В панели справа нажмите на
и выберите пункт меню «Открыть дизайнер системы», затем в группе «Пользователи и администрирование» нажмите на «Права доступа на операции».
- Найдите и откройте операцию «Возможность сбросить 2FA» (CanReset2FA).
- На детали «Доступ к операции» нажмите кнопку
.
- В открывшемся окне выберите пользователя и/или роли, которым будет доступна данная операция.
- После завершения выбора нажмите на кнопку «Выбрать» для подтверждения выбора.
Настройка времени жизни секретного ключа
При первом входе пользователю необходимо пройти процедуру регистрации секретного ключа во внешнем приложении-аутентификаторе. У секретного ключа есть срок действия, в рамках которого пользователю необходимо его ввести во внешнее приложение-аутентификатор. Если пользователь введет секретный ключ с истекшим временем жизни, генерируемые секретные коды будут не действительны.
Примечание. По умолчанию срок жизни секретного ключа — 2 минуты.
Для настройки срока жизни секретного ключа выполните следующие действия:
- Перейдите в раздел «Системные настройки» и откройте настройку «Время жизни токена для регистрации ТОТР» (TotpSetupTokenTtl).
- Заполните поле «Значение по умолчанию» целым числом. Указанное целое число определяет количество минут, в рамках которых будет действовать сгенерированный QR-код/секретный ключ.
- Сохраните изменения с помощью кнопки «Сохранить».
Настройка двухфакторной аутентификации пользователем BPMSoft
После включения двухфакторной аутентификации пользователю при следующем входе необходимо будет выполнить следующие действия:
- На странице входа введите логин и пароль пользователя, после чего отобразится новое окно с секретным ключом в виде QR-кода и текстовой строки.
Рисунок 3 — Окно с секретным ключом
- Откройте стороннее приложение-аутентификатор, например, Google Authenticator.
- В приложении отсканируйте QR-код камерой мобильного устройства или введите секретный ключ вручную, после чего в приложении будет автоматически сгенерирован шестизначный секретный код.
Примечание. Срок жизни секретного кода, который был сгенерирован в приложении-аутентификаторе, в большинстве случаев равен 30 секундам и не регулируется на стороне BPMSoft.
Рисунок 4 — Секретный код в приложении-аутентификаторе
- В окне с секретным кличем нажмите на кнопку «Далее», после этого появится окно для ввода секретного кода, сгенерированного в приложении-аутентификаторе;
Рисунок 5 — Окно ввода секретного кода
- Введите секретный код из приложения-аутентификатора и нажмите на кнопку «Подтвердить». Если данные введены корректно, появится информационное окно об успешном завершении настроек.
Рисунок 6 — Окно с подтверждением установки двухфакторной аутентификации
Сброс двухфакторной аутентификации для пользователя BPMSoft
В случае необходимости сброса двухфакторной аутентификации для конкретного пользователя перейдите в раздел «Пользователи системы» и выполните следующие действия:
- Найдите пользователя, для которого необходимо осуществить сброс двухфакторной аутентификации, и выделите запись левой кнопкой мыши.
- Нажмите на группу кнопок «Действия».
- В списке действий нажмите на кнопку «Сбросить 2FA». После выполнения функции появится информационное окно с подтверждением сброса.
Рисунок 7 — Окно с подтверждением сброса двухфакторной аутентификации у пользователя