В этой статье:

Привязка сертификата клиента к пользователю

Настройка подключения веб-сервиса

Изменение применения двухфакторной аутентификации

Настройка двухфакторной аутентификации

Двухфакторная аутентификация предназначена для повышения информационной безопасности за счёт дополнительного этапа проверки подлинности пользователя при его авторизации. В качестве первого фактора используется любой доступный тип аутентификации. В качестве второго фактора используется слепок сертификата клиента, который сохраняется в «Форсайт. Аналитическая платформа».

Сертификат клиента является частью сертификата безопасности, который включает в себя набор сгенерированных сертификатов:

По умолчанию при успешной аутентификации пользователя будет запрашиваться привязанный сертификат клиента для входа в систему.

Для настройки двухфакторной аутентификации:

  1. Сгенерируйте и установите сертификат безопасности с помощью специальных криптографических программных средств, например, OpenSSL.

  2. Привяжите сертификат клиента к пользователю.

Примечание. В настольном приложении достаточно привязать сертификат к пользователю для использования двухфакторной аутентификации с настройками по умолчанию, если используется стандартная конфигурация «Форсайт. Аналитическая платформа».

  1. Настройте подключение веб-сервиса, если используется одна из конфигураций «Форсайт. Аналитическая платформа»:

  2. При необходимости измените применение двухфакторной аутентификации. По умолчанию двухфакторная аутентификация применятся только для пользователей, к которым привязан сертификат клиента.

После выполнения действий результат двухфакторной аутентификации будет зависеть от заданного применения. Если применение двухфакторной авторизации не менялось, то по умолчанию при успешной аутентификации пользователя будет запрашиваться привязанный сертификат клиента для входа в систему.

Привязка сертификата клиента к пользователю

Сертификат клиента должен быть привязан индивидуально к каждому пользователю.

Для привязки сертификата к пользователю:

  1. Выполните одно из действий в разделе «Пользователи»:

После выполнения одного из действий будет открыто окно «Свойства пользователя» в настольном приложении или боковая панель «Свойства» в веб-приложении:

  1. Нажмите кнопку «Добавить», расположенную напротив поля «Сертификат», на вкладке «Общие свойства» и выберите вариант добавления сертификата клиента в раскрывающемся меню кнопки:

Примечание. В веб-приложении добавление сертификата доступно только из файла.

После выполнения действий в поле «Сертификат» будет содержаться слепок выбранного сертификата клиента.

  1. Нажмите кнопку «ОК» в настольном приложении или «Сохранить» в веб-приложении.

После выполнения действий сертификат клиента будет привязан к выбранному пользователю.

Примечание. В настольном приложении достаточно привязать сертификат клиента к пользователю для использования двухфакторной аутентификации с настройками по умолчанию.

Настройка подключения веб-сервиса

Настройки подключения веб-сервиса зависят от операционной системы и используемой конфигурации «Форсайт. Аналитическая платформа»:

Для настройки подключения веб-сервиса:

  1. Настройте веб-приложение для работы через HTTPS.

  2. Включите параметры SSL для веб-приложения. В диспетчере служб IIS перейдите на страницу настройки параметров SSL с помощью кнопки «Параметры SSL». После чего будет открыта страница «Параметры SSL». Установите флажок «Требовать SSL» и переключатель «Требовать» для сертификатов клиента.

Для настройки подключения веб-сервиса:

  1. Настройте веб-приложение для работы через HTTPS.

  2. Выполните настройки в ОС Linux:

Ubuntu

Red Hat

После выполнения действий при двухфакторной аутентификации для подключения к веб-сервису будет использоваться протокол HTTPS. Авторизация пользователей будет выполняться по клиентским сертификатам.

Изменение применения двухфакторной аутентификации

По умолчанию двухфакторная аутентификация применятся только для пользователей, к которым привязан сертификат клиента.

Для изменения применения двухфакторной аутентификации:

Создайте строковый параметр Strategy_check и задайте ему значение в разделе реестра HKEY_LOCAL_MACHINE\Software\Foresight\Foresight Analytics Platform\9.0\Manager\Certificate на локальных компьютерах всех пользователей.

Возможные значения параметра:

  • User. По умолчанию. Двухфакторная аутентификация применяется, если к пользователю привязан сертификат клиента;

  • Always. Двухфакторная аутентификация применяется для всех пользователей. Пользователям, к которым не привязан сертификат клиента, доступ будет запрещен;

  • Never. Двухфакторная аутентификация не применяется, даже если к пользователю привязан сертификат клиента.

Создайте строковый параметр Strategy_check и задайте ему значение в файле конфигурации settings.xml:

<...>
    <Key Name="Manager">
        <Certificate Strategy_check="Always"/>
    </Key>
</...>

Возможные значения параметра:

  • User. По умолчанию. Двухфакторная аутентификация применяется, если к пользователю привязан сертификат клиента;

  • Always. Двухфакторная аутентификация применяется для всех пользователей. Пользователям, к которым не привязан сертификат клиента, доступ будет запрещен;

  • Never. Двухфакторная аутентификация не применяется, даже если к пользователю привязан сертификат клиента.

См. также:

Выбор методов разграничения доступа и их настройка