Управление токенами в консоли auth.as
Обращаем ваше внимание, что мы постоянно улучшаем пользовательский интерфейс и если вы видите некие нестыковки описания с системой, вероятнее всего у вас устаревшая документация, скачайте последнюю версию!
Токен — физическое устройство или мобильное приложение для платформы Android и iOS для создания одноразового пароля, используемого как второй фактор при входе в систему (это может быть веб-приложение, Citrix-сервер, Виртуальный десктоп, VPN сервис, что угодно).
В сервисе auth.as нет разницы между типами физических устройств (форм-факторов) и мобильных приложениях. Различия только в используемых алгоритмах: EventBased или TimeBased.
Интерфейс токенов
Для доступа к интерфейсу управления токенами необходимо выбрать пункт “Устройства” в разделе “Управление” главного меню сервиса:
После этого отобразится табличное представление со списком доступных токенов вашего домена (или выбранного домена в случае использования учётной записи с ролью “Администратор компании”):
Создание нового токена
В сервисе auth.as поддерживаются два типа токенов: физические и мобильные.
- Физические токены представляют собой устройства, выполненные в разных форм-факторах. Это могут быть брелоки, пластиковые карты или другие варианты. Нами поддерживаются физические токены только с EventBased-алгоритмом. На сегодняшний день это генераторы производства Safenet и HID.
- Мобильные токены — это приложения нашего сервиса для двух платформ: Android и iOS с возможностью установки их через AppStore и Google Play или через внутренний корпоративный магазин приложений. Наши мобильные приложения поддерживают оба алгоритма: EventBased и TimeBased.
Выбор алгоритма осуществляется в момент создания мобильного устройства:
- Ссылка на мобильное приложение для Android 4.x: https://play.google.com/store/apps/details?id=com.rcntec.android.auth_as.app
- Ссылка на мобильное приложение для iOS (iPhone, iPad, iPod Touch): https://itunes.apple.com/ru/app/auth.as-token/id946496202?mt=8
Для перехода в интерфейс создания нового токена необходимо воспользоваться кнопкой “Добавить устройство” и в ниспадающем меню выбрать нужный тип токена. Давайте рассмотрим оба случая.
Создание физического токена
В представленном на изображении интерфейсе вам надо будет заполнить минимальный набор параметров для создания физического токена. Давайте их разберём.
- Поле “Домен” Доступно только для пользователя с роль “Администратор компании”.
- Поле “Заводской номер (seed)” Уникальный идентификатор токена. Для физического токена присваивается на производстве и должен быть передан вам во время приобретения устройства. Вводится в шестнадцатеричном формате, например: “DEADBEEF”.
- Поле “Серийный номер” Описание токена на английском языке. Можно указать фамилию пользователя или любые другие идентификационные данные. Используется для поиска по токенам в интерфейсе создания пользователя.
- Поле “Назначить токен пользователю” Открывает дополнительные поля для выбора существующего пользователя.
В верхнее поле необходимо ввести часть имени пользователя и по этим введённым данным сработает автоматическое заполнение с выбором из существующих пользователей:
Если у введённого вами пользователя уже имеется токен, в интерфейсе поиска это будет представлено следующим образом:
После выбора пользователя вам необходимо будет взять физический токен и два раза последовательно создать для него пароли (нажатием на соответствующую кнопку на устройстве), которые вам нужно будет ввести в эти текстовые поля:
Сервис автоматически рассчитает текущее значение счётчика по введённым кодам и обновит информацию в базе данных токена.
Для чего необходимо рассчитывать значение счётчика? Это значение необходимо для успешного входа пользователя. Алгоритм EventBased напрямую завязан на внутренний счётчик (число) внутри вашего физического устройства, поэтому случайные несколько нажатий на кнопку создания пароля может повлечь собой рассинхронизацию счётчика с auth.as. Настоятельно рекомендуем донести до владельцев физических токенов информацию, что многократное использование устройства без входов в веб-интерфейс или любое связанное с нашим сервисом приложение делает невозможным дальнейший вход. Для нивелирования подобных проблем, при использовании физических генераторов, мы вычисляем 10 последовательностей вперед, для Вашего токена, от известной нашему сервису, и если одна из 10 совпадает с введенной, считаем что пароль введен верно и используем далее уже новую введенную как текущую.
Если вы введёте некорректные значения двух кодов или введёте их не в той последовательности, сервис уведомит вас об этом:
После успешного добавления токена пользователю ему автоматически будет направлено электронное сообщение с информацией о назначенном токене.
Создание мобильного токена
Создание мобильного токена с алгоритмом EventBased практически не отличается от рассмотренного выше способа за исключением одной особенности: не нужно вводить два последовательных кода. Они автоматически будут импортированы в приложение. Поэтому давайте рассмотрим создание мобильного токена с TimeBased-алгоритмом.
В табличном представлении токенов вашего домена воспользуйтесь кнопкой “Добавить устройство” и выберите в нём пункт “Мобильное”. На экране отобразится похожая форма из предыдущего раздела этой инструкции:
Аналогично и предыдущему пункту выбор домена будет доступен только для пользователей с ролью “Администратор компании”.
- Поле “Алгоритм” Используется для выбора между двумя типами алгоритмов: EventBased и TimeBased.По-умолчанию предлагается TimeBased, как наиболее удобный для мобильных устройств. При использовании TimeBased-токенов, ключевым фактором является текущее время на мобильном устройстве — оно автоматически синхронизируется приложением через Интернет, таким образом приложение и сервис используют одинаковое время. Обратите внимание: В случае если интернет на мобильном устройстве не доступен, возможны проблемы при несовпадении времени сервиса и устройства более чем на 25-30 секунд. Обращаем ваше внимание: приложение “auth.as: token” не вносит изменения в работу вашей операционной системы. И, тем более, мы не изменяем настройки синхронизации времени.
- Как вы могли уже обратить внимание, при создании мобильного токена мы не запрашиваем ввод поля “Заводской номер (seed)”, т.к. его попросту не может быть у виртуального устройства. Вместо этого мы автоматически создаём этот уникальный код и сохраняем вместе с устройством. Seed используется для расчёта пароля.
- Поле “Блокировать код после использования” Это поле мы уже рассматривали в инструкции по добавлению пользователей, здесь оно работает идентично, позволяя указать данную опцию на любом из этапов создания токена или пользователя. Суть опции простая: алгоритм TimeBased работает таким образом, что создаваемый пароль действует до 30 секунд. Если после успешного использования этого пароля кто-то случайно или намеренно перехватит (или подсмотрит) его, наш сервис не пропустит повторную попытку входа с этим паролем и не истёкшим сроком действия. Чтобы такого не случилось, мы добавили дополнительную опцию в настройки мобильного токена, которая после успешного входа с паролем EventBased-токена блокирует его до истечения срока его действия. Это дополнительно защищает вашу учётную запись.
- Поле “Серийный номер” Вводите сюда нужную вам информацию об этом токене.
- Поле “Логин пользователя” Используется для “привязки” мобильного токена пользователю. В отличие от физического токена (который можно создать и сохранить в базу данных без привязки к пользователю), мобильный токен нельзя создать “на будущее”.
После создания мобильного токена и “привязки” его к пользователю на электронную почту (из профиля пользователя) будет направлено письмо с информацией и всеми необходимыми ссылками. В письме содержится ссылка на веб-страницу на которой содержится QR-код который используется для удобного импорта настроек токена в мобильное приложение. Данная страница содержит в себе данные, которые, в случае несанкционированного доступа к ним, позволят обойти второй фактор аутентификации - cообщите пользователю, чтобы не передавал никому это письмо и ссылку на эту страницу. Со своей стороны мы сделали чтобы страница была доступна один раз и только 10 минут (этого времени должно хватить на установку приложения и импорт настроек через QR-код), после просмотра или доступа к ней придётся запрашивать доступ к ней по новой, через веб-интерфейс auth.as.