Установка и настройка продукта «Форсайт. Аналитическая платформа» > Аутентификация в продукте > Настройка двухфакторной аутентификации
В этой статье:
Шаг 1. Импорт сертификата клиента в хранилище
Шаг 2. Привязка сертификата клиента к пользователю
Двухфакторная аутентификация предназначена для повышения информационной безопасности за счёт дополнительного этапа проверки подлинности пользователя при его авторизации. В качестве первого фактора используется выбранный тип аутентификации. В качестве второго фактора используется слепок сертификата клиента, который сохраняется в «Форсайт. Аналитическая платформа».
Сертификат клиента является частью сертификата безопасности, который включает в себя набор сгенерированных сертификатов:
Корневой сертификат. Используется для генерации и подписи сертификата сервера и сертификата клиента;
Сертификат сервера. Используется веб-сервером Apache2 в ОС Linux или IIS в ОС Windows в веб-приложении;
Сертификат клиента. Используется для проверки подлинности пользователя при его авторизации и представляет собой личную цифровую подпись.
По умолчанию при успешной аутентификации пользователя будет запрашиваться привязанный сертификат клиента для входа в систему.
Примечание. Настройка двухфакторной аутентификации доступна в настольном и веб-приложении, работа которого настроена по протоколу HTTPS.
При настройке двухфакторной аутентификации для веб-приложения предполагается, что корневой сертификат и сертификат сервера уже получены и установлены в процессе настройки работы веб-приложения по протоколу HTTPS. Получите только сертификат клиента client.pfx и разместите его в папке с корневым сертификатом на локальном компьютере пользователя.
При настройке двухфакторной аутентификации для настольного приложения получите корневой сертификат и сертификат клиента, подписанные доверенным центром сертификации. После чего создайте папку и разместите сертификаты на локальном компьютере пользователя: сертификат клиента client.pfx; корневой сертификат ca.cer и его закрытый ключ ca.key.
Указанные файлы сертификатов и ключа приведены в качестве примера и могут отличаться.
Для импорта сертификата клиента в личное хранилище сертификатов используйте поддерживаемый браузер или средства операционной системы. Средствами операционной системы можно импортировать сертификаты в хранилища только в ОС Windows.
Рассмотрим импорт сертификатов на примере Mozilla Firefox:
Откройте настройки браузера по адресу:
about:preferences
Перейдите в раздел «Приватность и Защита».
Нажмите кнопку «Просмотр сертификатов» в подразделе «Сертификаты». После чего будет открыто окно «Управление сертификатами».
Нажмите кнопку «Импортировать» и выполните действия. После чего будет выдан стандартный диалог выбора файла.
Выберите сертификат клиента client.pfx на вкладке «Ваши сертификаты».
Введите пароль закрытого ключа, который был задан при создании сертификата клиента.
После выполнения действий сертификат клиента будет импортирован в личное хранилище сертификатов.
Сертификат клиента должен быть привязан индивидуально к каждому пользователю.
Примечание. Привязка сертификата клиента к доменному пользователю недоступна.
Для привязки сертификата к пользователю в менеджере безопасности:
Выполните одно из действий в разделе «Пользователи»:
в веб-приложении выберите пользователя;
в настольном приложении:
выберите пользователя и выполните команду контекстного меню «Свойства»;
выберите пользователя и выполните команду главного меню «Пользователь > Свойства»;
дважды щелкните по выбранному пользователю.
После выполнения одного из действий будет открыта боковая панель «Свойства» в веб-приложении и окно «Свойства пользователя» в настольном приложении.
Нажмите кнопку «Добавить», расположенную напротив поля «Сертификат», на вкладке «Общие свойства» и выберите вариант добавления сертификата клиента в раскрывающемся меню кнопки:
из файла. При выполнении команды будет открыт стандартный диалог выбора файла. Выберите файл с расширением *.cer или *.crt и нажмите кнопку «Открыть»;
из хранилища Windows. При выполнении команды будет открыт стандартный диалог выбора сертификата Windows. Выберите сертификат и нажмите кнопку «ОК».
Примечание. В веб-приложении добавление сертификата доступно только из файла.
После выполнения действий в поле «Сертификат» будет содержаться слепок выбранного сертификата клиента.
Нажмите кнопку «Сохранить» в веб-приложении или «ОК» в настольном приложении.
После выполнения действий сертификат клиента будет привязан к выбранному пользователю.
Шаги по настройке отличаются в зависимости от используемого веб-сервера и операционной системы.
Для настройки веб-сервера Apache2 в ОС Linux
Добавьте параметры SSL в раздел <VirtualHost> в файле конфигурации Apache2:
/etc/apache2-fp10.x-web/sites-available/webserver.conf в Debian-подобных дистрибутивах;
/etc/httpd-fp10.x-web/conf.d/00-virtualhost.conf в RedHat-подобных дистрибутивах;
/etc/httpd2-fp10.x-web/conf/sites-enabled/000-default.conf в ALT Linux.
SSLVerifyClient
require
SSLVerifyDepth 10
SSLCACertificateFile <путь
до папки>/ca.cer
В подстановке <путь до папки> укажите папку, в которой расположен корневой сертификат.
Перезапустите веб-сервер:
Debian-подобные дистрибутивы:
sudo systemctl restart apache2-fp10.x-web
RedHat-подобные дистрибутивы:
sudo systemctl restart httpd-fp10.x-web
ALT Linux:
sudo systemctl restart httpd2-fp10.x-web
После выполнения действий будет настроен веб-сервер Apache2.
Для настройки веб-сервера IIS в ОС Windows откройте диспетчер служб IIS и выполните действия:
Откройте функцию 
«Параметры SSL»
в разделе «IIS»
двойным щелчком мыши или с помощью команды контекстного
меню «Открытие функции».
Установите флажок «Требовать SSL» и переключатель «Требовать» для сертификатов клиента.
После выполнения действий при двухфакторной аутентификации для подключения к веб-сервису будет использоваться протокол HTTPS. Авторизация пользователей будет выполняться по клиентским сертификатам.
По умолчанию двухфакторная аутентификация применятся только для пользователей, к которым привязан сертификат клиента. При необходимости измените применение двухфакторной аутентификации.
Способы изменения применения двухфакторной аутентификации в веб-приложении и настольном приложении отличаются.
В веб-приложении создайте строковый параметр Strategy_check и задайте ему значение в файле конфигурации settings.xml:
<Key Name="Manager">
<Certificate Strategy_check="Always"/>
</Key>
Допустимые значения параметра:
User. По умолчанию. Двухфакторная аутентификация применяется, если к пользователю привязан сертификат клиента;
Always. Двухфакторная аутентификация применяется для всех пользователей. Пользователям, к которым не привязан сертификат клиента, доступ будет запрещен;
Never. Двухфакторная аутентификация не применяется, даже если к пользователю привязан сертификат клиента.
В настольном приложении создайте строковый параметр Strategy_check и задайте ему значение в разделе реестра [HKEY_LOCAL_MACHINE\Software\Foresight\Foresight Analytics Platform\10.0\Manager\Certificate] на локальных компьютерах всех пользователей.
Допустимые значения параметра:
User. По умолчанию. Двухфакторная аутентификация применяется, если к пользователю привязан сертификат клиента;
Always. Двухфакторная аутентификация применяется для всех пользователей. Пользователям, к которым не привязан сертификат клиента, доступ будет запрещен;
Never. Двухфакторная аутентификация не применяется, даже если к пользователю привязан сертификат клиента.
Для проверки двухфакторной аутентификации:
Откройте веб-приложение по протоколу HTTPS или запустите настольное приложение.
Войдите в систему в соответствии с используемым типом аутентификации.
После выполнения действий результат двухфакторной аутентификации будет зависеть от заданного применения. Если применение двухфакторной авторизации не менялось, то по умолчанию при успешной аутентификации пользователя будет запрашиваться привязанный сертификат клиента для входа в систему.
См. также:
