Двухфакторная аутентификация предназначена для повышения информационной безопасности, добавляя еще один этап проверки при авторизации пользователя.
В качестве первого фактора может выступать любой доступный тип аутентификации.
В качестве второго фактора выступает слепок сертификата, который сохраняется в Prognoz Platform 8.
Для входа в систему при успешной аутентификации по первому фактору у пользователя будет запрошен сертификат.
Для работы двухфакторной аутентификации в настольном приложении достаточно привязать пользователю сертификат.
При использовании веб-приложения или сервера безопасности необходимо произвести дополнительные настройки https соединения с использованием сертификатов, описаннные в статье «Пример настройки двухфакторной аутентификации» или «Пример настройки двухфакторной аутентификации на ОС Linux».
По умолчанию двухфакторная аутентификация применятся только для пользователей, к которым привязан сертификат.
Изменение применения двухфакторной аутентификации задается через параметр «Strategy_check» в системном реестре, расположенный по адресу:
[HKEY_LOCAL_MACHINE\SOFTWARE\JSC Prognoz\Prognoz Platform\8.0\Manager\Certificate]
Примечание. При использовании сервера безопасности адрес будет содержать папку сервера безопасности: ...\JSC Prognoz\Prognoz Platform Security Server\...
Необходимо создать строковый параметр «Strategy_check», который может принимать значения:
User. Значение по умолчанию. Двухфакторная аутентификация применяется, если к пользователю привязан сертификат;
Always. Двухфакторная аутентификация применяется для всех пользователей. Пользователям, у которых не задан сертификат, доступ будет запрещен;
Never. Двухфакторная аутентификация не применяется, даже если у пользователя привязан сертификат.
Примечание.
Данный флаг может быть задан через файл конфигурации settings.xml:
<Key Name="Manager">
<Certificate Strategy_check="always"/>
</Key>
Для задания двухфакторной аутентификации необходимо индивидуально для каждого пользователя задать требуемый сертификат.
Привязка сертификата к пользователю производится на вкладке «Общие свойства» в свойствах пользователя.
Примечание. Сертификат безопасности представляет собой личную цифровую подпись пользователя. Он генерируется при помощи специальных криптографических программных средств (например, OpenSSL).
Если Prognoz Platform 8 используется в конфигурации с использованием веб-приложения (BI-сервера) или сервера безопасности, то необходимо настроить на веб-сервере работу через протокол https и авторизацию по клиентским сертификатам.
На веб-сервере необходимо задать следующие настройки:
Добавить привязку https.
Включить требование SSL и сертификатов клиента.
Настроить на сервере корневой сертификат и сертификат сервера.
Точка доступа к веб-сервису также будет содержать протокол https, например, при использовании веб-сервера IIS и сервера безопасности:
https://<рабочая станция>/PPSS_App_v8.1x64/axis2/services/PP.SOM.SomSec
Примечание. При использовании сервера безопасности совместно с веб-приложением (BI-сервером) проверка сертификатов производится BI-сервером.
Полный процесс создания сертификатов и необходимых настроек веб-сервера приведен в статье «Пример настройки двухфакторной аутентификации».
См. также: