Управление MFA токенами в SaaS сервисе: полное пошаговое руководство

Перейдите на страницу Tokens, чтобы узнать больше об OTP-токенах, поддерживаемых Protectimus. Вы можете использовать и комбинировать любые типы токенов в зависимости от ваших задач.

Важные примечания:

• Один пользователь может использовать только один токен для аутентификации в рамках одного ресурса.
• Вы можете включить Портал самообслуживания пользователей, чтобы пользователи могли самостоятельно регистрировать и управлять токенами.
• Количество токенов, которые вы можете добавить, ограничено вашим тарифным планом Service Plan.

1. Как импортировать токены

Если вы используете аппаратные OTP-токены, вы можете импортировать CSV-файл с секретными ключами токенов в Protectimus SaaS Service.

1. Войдите в свою учетную запись Protectimus SaaS Service и перейдите на страницу Tokens.

2. Нажмите кнопку + (Create Token) в правом верхнем углу и выберите Import.

3. Загрузите CSV-файл в следующем формате:
   
   

   serialNumber,secret

   
   

2. Как добавить токены вручную

1. Войдите в свою учетную запись Protectimus SaaS Service и перейдите на страницу Tokens.

2. Нажмите кнопку + (Create Token) в правом верхнем углу и выберите Create.

3. Выберите тип токена: Hardware, Software или Universal.

Примечание: Если включена защита PIN-кодом, пользователь должен вводить PIN-код вместе с одноразовым паролем (до или после OTP — в зависимости от настроек администратора). PIN-код и OTP вводятся одной строкой без пробелов. Это обеспечивает дополнительный уровень безопасности.

2.1. Аппаратные токены

Аппаратные токены — это физические устройства Protectimus для генерации OTP, такие как:

• Protectimus Two
• Protectimus Slim / Slim Mini
• Protectimus Flex
• Protectimus Ultra

Чтобы добавить аппаратный токен:

1. Выберите Hardware и укажите нужную модель аппаратного токена.

2. Заполните необходимые поля, такие как Name и Serial Number (или OTP Period (seconds) — в зависимости от модели).

3. (Необязательно) Включите Use PIN, если хотите добавить PIN-код, затем нажмите Next для завершения настройки.

2.2. Программные токены

Программные токены включают методы на базе приложений и доставки, такие как:

• Protectimus Smart
• Google Authenticator (и другие TOTP-приложения)
• Push
• SMS
• Email
• Bot

Чтобы добавить программный токен:

1. Выберите Software и укажите нужный тип токена.

2. Заполните необходимые параметры (например, Name и параметры OATH, такие как длина OTP, период и алгоритм хеширования).

3. (Необязательно) Включите Use PIN и выберите, вводится ли PIN до OTP или после OTP, затем нажмите Next.

4. Отсканируйте QR-код с помощью приложения-аутентификатора или введите секрет вручную (в зависимости от выбранного типа токена).
5. Введите корректный OTP и нажмите Complete.

2.3. Универсальные токены

Универсальные токены позволяют добавлять любые OATH-совместимые токены сторонних производителей. Для этого потребуется секретный ключ токена.

Чтобы добавить универсальный токен:

1. Выберите Universal.

2. Введите необходимые поля (например, Name, Serial Number и Secret).
3. (Необязательно) Включите Use PIN и выберите, вводится ли PIN до OTP или после OTP, затем нажмите Next.

Важно: После добавления токена необходимо назначить его конкретному пользователю и назначить пользователя и токен на ресурс.

3. Управление токеном

Чтобы управлять токеном, откройте страницу Tokens и нажмите на Name токена.

Откроется страница Token Info.

3.1. Действия с токеном

В панели токена доступны следующие действия:

• Check OTP — проверка корректности одноразового пароля, генерируемого токеном.
• Synchronize — синхронизация токена с сервером (в основном для аппаратных токенов).
• Reissue — генерация нового секрета, если пользователь потерял доступ к токену.
• Active — включение или отключение токена.

Если токен неактивен, его нельзя использовать для аутентификации.

3.2. Удаление токена

• Нажмите Delete, чтобы окончательно удалить токен.
• Это действие нельзя отменить.

3.3. Assigned To (назначение пользователю)

Раздел Assigned To показывает, какому пользователю привязан токен.

• Нажмите значок +, чтобы создать нового пользователя и назначить ему токен.
• Нажмите значок ссылки, чтобы назначить токен существующему пользователю.

Если токен не назначен, он не может использоваться для аутентификации пользователя.

3.4. Настройки

Раздел Settings позволяет настроить:

• Use PIN — включение или отключение защиты PIN-кодом.
• Bypass — временное или постоянное отключение проверки OTP.
• OTP Length — изменение длины одноразового пароля (если поддерживается).

При включённом bypass аутентификация может выполняться без проверки OTP.

3.5. Ресурсы токена

Раздел Token Resources определяет, в каких ресурсах можно использовать токен.

• Нажмите значок +, чтобы назначить токен новому ресурсу.
• Нажмите значок ссылки, чтобы связать токен с существующим ресурсом.

Токен должен быть назначен ресурсу, чтобы использоваться в этом ресурсе.

3.6. События токена

Раздел Token Events отображает все действия, связанные с токеном.

• Просматривайте обновления токена, назначения, отзыв доступа и события синхронизации.
• Используйте поле Search для фильтрации событий.
• Используйте элементы пагинации для просмотра истории событий.

4. Временное или постоянное отключение проверки OTP (Bypass)

Вы можете временно или постоянно отключить проверку OTP для токена из списка Tokens (через меню в колонке Active).

• Временное отключение: 1 час, 8 часов, 12 часов или 24 часа
• Постоянное отключение: действует до ручного отключения

Предупреждение: При включённом bypass аутентификация может выполняться без проверки OTP.

Если у вас возникнут вопросы, пожалуйста, обратитесь в службу поддержки Protectimus.