Настройка двухфакторной аутентификации
Двухфакторная аутентификация предназначена для повышения информационной безопасности за счёт дополнительного этапа проверки подлинности пользователя при его авторизации. В качестве первого фактора используется любой доступный тип аутентификации. В качестве второго фактора используется слепок сертификата клиента, который сохраняется в «Форсайт. Аналитическая платформа».
Сертификат клиента является частью сертификата безопасности, который включает в себя набор сгенерированных сертификатов:
Корневой сертификат. Используется для генерации и подписи сертификата сервера и сертификата клиента;
Сертификат сервера. Используется СУБД в настольном приложении и сервером в веб-приложении для подписи сертификата клиента;
Сертификат клиента. Представляет собой личную цифровую подпись пользователя и используется для проверки подлинности при его авторизации.
По умолчанию при успешной аутентификации пользователя будет запрашиваться привязанный сертификат клиента для входа в систему.
Для настройки двухфакторной аутентификации:
Сгенерируйте и установите сертификат безопасности с помощью специальных криптографических программных средств, например, OpenSSL.
Примечание. В настольном приложении достаточно привязать сертификат к пользователю для использования двухфакторной аутентификации с настройками по умолчанию, если используется стандартная конфигурация «Форсайт. Аналитическая платформа».
Настройте подключение веб-сервиса, если используется одна из конфигураций «Форсайт. Аналитическая платформа»:
стандартная конфигурация с использованием веб-приложения и настольного приложения;
стандартная конфигурация с использованием веб-приложения.
При необходимости измените применение двухфакторной аутентификации. По умолчанию двухфакторная аутентификация применятся только для пользователей, к которым привязан сертификат клиента.
После выполнения действий результат двухфакторной аутентификации будет зависеть от заданного применения. Если применение двухфакторной авторизации не менялось, то по умолчанию при успешной аутентификации пользователя будет запрашиваться привязанный сертификат клиента для входа в систему.
Привязка сертификата клиента к пользователю
Сертификат клиента должен быть привязан индивидуально к каждому пользователю.
Для привязки сертификата к пользователю:
Выполните одно из действий в разделе «Пользователи»:
в веб-приложении:
выберите пользователя;
в настольном приложении:
выберите пользователя и выполните команду контекстного меню «Свойства»;
выберите пользователя и выполните команду главного меню «Пользователь > Свойства»;
дважды щелкните по выбранному пользователю.
После выполнения одного из действий будет открыто окно «Свойства пользователя» в настольном приложении или боковая панель «Свойства» в веб-приложении:
Нажмите кнопку «Добавить», расположенную напротив поля «Сертификат», на вкладке «Общие свойства» и выберите вариант добавления сертификата клиента в раскрывающемся меню кнопки:
из файла. При выполнении команды будет открыт стандартный диалог выбора файла. Выберите файл с расширением *.cer или *.crt и нажмите кнопку «Открыть»;
из хранилища Windows. При выполнении команды будет открыт стандартный диалог выбора сертификата Windows. Выберите сертификат и нажмите кнопку «ОК».
Примечание. В веб-приложении добавление сертификата доступно только из файла.
После выполнения действий в поле «Сертификат» будет содержаться слепок выбранного сертификата клиента.
Нажмите кнопку «Сохранить» в веб-приложении или «ОК» в настольном приложении.
После выполнения действий сертификат клиента будет привязан к выбранному пользователю.
Примечание. В настольном приложении достаточно привязать сертификат клиента к пользователю для использования двухфакторной аутентификации с настройками по умолчанию.
Настройка подключения веб-сервиса
Настройки подключения веб-сервиса зависят от операционной системы и используемой конфигурации «Форсайт. Аналитическая платформа»:
Для настройки подключения веб-сервиса:
Включите параметры SSL для веб-приложения. В диспетчере служб IIS перейдите на страницу настройки параметров SSL с помощью кнопки
«Параметры SSL».
После чего будет открыта страница «Параметры
SSL». Установите флажок «Требовать
SSL» и переключатель «Требовать»
для сертификатов клиента.
Для настройки подключения веб-сервиса:
Выполните настройки в ОС Linux:
UbuntuПосле выполнения действий при двухфакторной аутентификации для подключения к веб-сервису будет использоваться протокол HTTPS. Авторизация пользователей будет выполняться по клиентским сертификатам.
Изменение применения двухфакторной аутентификации
По умолчанию двухфакторная аутентификация применятся только для пользователей, к которым привязан сертификат клиента.
Для изменения применения двухфакторной аутентификации:
В веб-приложении создайте строковый параметр Strategy_check и задайте ему значение в файле конфигурации settings.xml:
<...>
<Key Name="Manager">
<Certificate Strategy_check="Always"/>
</Key>
</...>
Возможные значения параметра:
User. По умолчанию. Двухфакторная аутентификация применяется, если к пользователю привязан сертификат клиента;
Always. Двухфакторная аутентификация применяется для всех пользователей. Пользователям, к которым не привязан сертификат клиента, доступ будет запрещен;
Never. Двухфакторная аутентификация не применяется, даже если к пользователю привязан сертификат клиента.
В настольном приложении создайте строковый параметр Strategy_check и задайте ему значение в разделе реестра HKEY_LOCAL_MACHINE\Software\Foresight\Foresight Analytics Platform\10.0\Manager\Certificate на локальных компьютерах всех пользователей.
Возможные значения параметра:
User. По умолчанию. Двухфакторная аутентификация применяется, если к пользователю привязан сертификат клиента;
Always. Двухфакторная аутентификация применяется для всех пользователей. Пользователям, к которым не привязан сертификат клиента, доступ будет запрещен;
Never. Двухфакторная аутентификация не применяется, даже если к пользователю привязан сертификат клиента.