В этой статье:
Шаг 1. Импорт сертификата клиента в хранилище
Шаг 2. Привязка сертификата клиента к пользователю
Настройка двухфакторной аутентификации
Двухфакторная аутентификация предназначена для повышения информационной безопасности за счёт дополнительного этапа проверки подлинности пользователя при его авторизации. В качестве первого фактора используется парольный тип аутентификации. В качестве второго фактора используется слепок сертификата клиента, который сохраняется в «Форсайт. Аналитическая платформа».
Сертификат клиента является частью сертификата безопасности, который включает в себя набор сгенерированных сертификатов:
Корневой сертификат. Используется для генерации и подписи сертификата сервера и сертификата клиента;
Сертификат сервера. Используется веб-сервером Apache2 в ОС Linux или IIS в ОС Windows;
Сертификат клиента. Используется для проверки подлинности пользователя при его авторизации и представляет собой личную цифровую подпись.
Примечание. Настройка двухфакторной аутентификации доступна в веб-приложении, работа которого настроена по протоколу HTTPS. При использовании двухфакторной аутентификации взаимодействие браузера с BI-сервером должно выполняться в обход серверной части веб-приложения, через точку доступа PP.SOM.Som.
При настройке двухфакторной аутентификации предполагается, что корневой сертификат и сертификат сервера уже получены и установлены в процессе настройки работы веб-приложения по протоколу HTTPS. Получите только сертификат клиента client.pfx и разместите его в папке с корневым сертификатом на локальном компьютере пользователя. Также получите сертификат клиента с расширением *.cer или *.crt для последующей его привязки к пользователю в «Форсайт. Аналитическая платформа».
Если веб-приложение используется в браузере Chromium-Gost, то убедитесь, что получен корневой сертификат и сертификат клиента, использующий алгоритмы шифрования ГОСТ.
Указанные файлы сертификатов и ключа приведены в качестве примера и могут отличаться.
Шаг 1. Импорт сертификата клиента в хранилище
Для импорта сертификата клиента в личное хранилище сертификатов используйте поддерживаемый браузер или средства операционной системы. Средствами операционной системы можно импортировать сертификат в хранилище только в ОС Windows.
Рассмотрим импорт сертификата на примере Mozilla Firefox:
Откройте настройки браузера по адресу:
about:preferences
Перейдите в раздел «Приватность и Защита».
Нажмите кнопку «Просмотр сертификатов» в подразделе «Сертификаты». После чего будет открыто окно «Управление сертификатами».
Нажмите кнопку «Импортировать» и выполните действия. После чего будет выдан стандартный диалог выбора файла.
Выберите сертификат клиента client.pfx на вкладке «Ваши сертификаты».
Введите пароль закрытого ключа, который был задан при создании сертификата клиента.
После выполнения действий сертификат клиента будет импортирован в личное хранилище сертификатов.
Для импорта сертификата клиента в личное хранилище сертификатов средствами ОС Windows:
Дважды щёлкните по сертификату клиента client.pfx. После чего будет открыто окно «Сертификат».
Нажмите кнопку «Установить сертификат». После чего будет открыт мастер импорта сертификатов.
Выберите расположение хранилища «Текущий пользователь» и нажмите кнопку «Далее».
Установите переключатель «Поместить все сертификаты в следующее хранилище», выберите хранилище сертификатов «Личное» и нажмите кнопку «Далее».
После выполнения действий сертификат клиента будет импортирован в личное хранилище сертификатов.
Другие варианты установки и импорта сертификата на различных операционных системах и браузерах приведены на портале государственных услуг.
Шаг 2. Привязка сертификата клиента к пользователю
Сертификат клиента должен быть привязан индивидуально к каждому пользователю. Привязка сертификата клиента к пользователю доступна только в ОС Windows.
Примечание. Привязка сертификата клиента к доменному пользователю недоступна.
Для привязки сертификата к пользователю в менеджере безопасности:
Выберите пользователя в разделе «Пользователи». После чего будет открыта боковая панель «Свойства»:
Нажмите кнопку «Добавить», расположенную напротив поля «Сертификат», на вкладке «Общие свойства».
Выберите файл с расширением *.cer или *.crt в стандартном диалоге выбора файла.
Нажмите кнопку «Сохранить».
После выполнения действий сертификат клиента будет привязан к выбранному пользователю. В поле «Сертификат» содержится слепок сертификата клиента.
Шаг 3. Настройка BI-сервера
Шаги по настройке BI-сервера отличаются в зависимости от используемого веб-сервера, на котором установлен BI-сервер, и операционной системы.
Для настройки BI-сервера на веб-сервере Apache2 в ОС Linux:
Добавьте параметры SSL в разделе <VirtualHost *:8810> файла конфигурации экземпляра веб-сервера Apache2:
/etc/apache2-fp10.x/mods-available/fp10.x-biserver.conf в Debian-подобных дистрибутивах;
/etc/httpd-fp10.x/conf.d/fp10.x-biserver.conf в RedHat-подобных дистрибутивах;
/etc/httpd2-fp10.x/conf/mods-available/fp10.x-biserver.conf в ALT Linux.
SSLVerifyClient
require
SSLVerifyDepth 10
SSLCACertificateFile <путь
до папки>/ca.cer
В подстановке <путь до папки> укажите папку, в которой расположен корневой сертификат.
После выполнения действий будет настроен BI-сервер.
Для настройки BI-сервера на веб-сервере IIS в ОС Windows откройте диспетчер служб IIS и выполните действия:
Откройте функцию
«Параметры SSL»
в разделе «IIS»
двойным щелчком мыши или с помощью команды контекстного
меню «Открытие функции».Установите флажок «Требовать SSL» и переключатель «Требовать» для сертификатов клиента.
После выполнения действий при двухфакторной аутентификации для подключения к веб-сервису будет использоваться протокол HTTPS. Авторизация пользователей будет выполняться по клиентским сертификатам.
Шаг 4. Изменение применения двухфакторной аутентификации
По умолчанию двухфакторная аутентификация применятся только для пользователей, к которым привязан сертификат клиента. При необходимости измените применение двухфакторной аутентификации.
Создайте строковый параметр Strategy_check и задайте ему значение в разделе реестра [HKEY_LOCAL_MACHINE\Software\Foresight\Foresight Analytics Platform\10.0\Manager\Certificate] или в файле settings.xml:
<Key Name="Manager">
<Certificate Strategy_check="Always"/>
</Key>
Допустимые значения параметра:
User. По умолчанию. Двухфакторная аутентификация применяется, если к пользователю привязан сертификат клиента;
Always. Двухфакторная аутентификация применяется для всех пользователей. Пользователям, к которым не привязан сертификат клиента, доступ будет запрещен;
Never. Двухфакторная аутентификация не применяется, даже если к пользователю привязан сертификат клиента.
Шаг 5. Проверка двухфакторной аутентификации
Для проверки двухфакторной аутентификации:
После выполнения действий результат двухфакторной аутентификации будет зависеть от заданного применения. Если применение двухфакторной аутентификации не менялось, то по умолчанию перед аутентификацией пользователя запрашивается сертификат клиента. При успешной аутентификации пользователя сравнивается полученный сертификат с сертификатом, привязанным к пользователю в менеджере безопасности. Если сравниваемые сертификаты совпадают, то выполняется вход в систему.