Настройка двухфакторной аутентификации

Двухфакторная аутентификация предназначена для повышения информационной безопасности, добавляет дополнительный этап проверки при авторизации пользователя.

В качестве первого фактора может выступать любой доступный тип аутентификации.

В качестве второго фактора выступает слепок сертификата, который сохраняется в «Форсайт. Аналитическая платформа».

Для входа в систему при успешной аутентификации по первому фактору у пользователя будет запрошен сертификат.

Настройка двухфакторной аутентификации

Для работы двухфакторной аутентификации в настольном приложении достаточно привязать пользователю сертификат.

При использовании веб-приложения или сервера безопасности необходимо произвести дополнительные настройки https соединения с использованием сертификатов.

Для получения подробной информации о настройке двухфакторной аутентификации обратитесь к разделу «Пример настройки двухфакторной аутентификации в ОС Windows» или «Пример настройки двухфакторной аутентификации в ОС Linux».

Применение двухфакторной аутентификации

По умолчанию двухфакторная аутентификация применятся только для пользователей, к которым привязан сертификат.

Изменение применения двухфакторной аутентификации задается через параметр «Strategy_check» в системном реестре, расположенный по адресу:

[HKEY_LOCAL_MACHINE\Software\Foresight\Foresight Analytics Platform\9.0\Manager\Certificate]

Примечание. При использовании сервера безопасности адрес будет содержать папку сервера безопасности: ...\Foresight\Foresight Analytics Platform Security Server\...

Необходимо создать строковый параметр «Strategy_check», который может принимать значения:

Примечание. Данный флаг может быть задан через файл конфигурации settings.xml:
  <Key Name="Manager">
   <Certificate Strategy_check="always"/>
  </Key>

Привязка сертификата к пользователю

Для задания двухфакторной аутентификации необходимо индивидуально для каждого пользователя задать требуемый сертификат.

Привязка сертификата к пользователю производится на вкладке «Общие свойства» в свойствах пользователя.

Примечание. Сертификат безопасности представляет собой личную цифровую подпись пользователя. Он генерируется при помощи специальных криптографических программных средств, например, OpenSSL.

Настройки подключения через веб-сервис

Если «Форсайт. Аналитическая платформа» используется в конфигурации с использованием веб-приложения (BI-сервера) или сервера безопасности, то необходимо настроить на веб-сервере работу через протокол https и авторизацию по клиентским сертификатам.

На веб-сервере необходимо задать следующие настройки:

  1. Добавить привязку https.

  2. Включить требование SSL и сертификатов клиента.

  3. Настроить на сервере корневой сертификат и сертификат сервера.

Точка доступа к веб-сервису также будет содержать протокол https, например, при использовании веб-сервера IIS и сервера безопасности:

https://<рабочая станция>/fpSS_App_v9.2x64/axis2/services/PP.SOM.SomSec

Примечание. При использовании сервера безопасности совместно с веб-приложением (BI-сервером) проверка сертификатов производится BI-сервером.

Для получения подробной информации о процессе создания сертификатов и необходимых настроек веб-сервера обратитесь к разделу «Пример настройки двухфакторной аутентификации в ОС Windows».

См. также:

Пример настройки двухфакторной аутентификации в ОС Windows | Пример настройки двухфакторной аутентификации в ОС Linux