Gestione utenti - Provisioning
La gestione di tutti gli utenti viene eseguita nella sezione Users (Utenti) di Web Console.
Il provisioning è il processo che consente agli utenti di eseguire l'autenticazione con un secondo fattore in caso di accesso a dispositivi/servizi protetti da ESET Secure Authentication On-Prem.
Da ESA versione 3.0, il numero di telefono non è essenziale per l'utilizzo dell'applicazione mobile ESA, a meno che non venga utilizzato il provisioning via SMS. Il numero di telefono di ciascun utente viene inserito manualmente in caso di creazione/modifica dell'utente in Web Console, importato insieme alle informazioni dell'utente in caso di sincronizzazione con LDAP o inserito dall'utente in caso di abilitazione della registrazione automatica.
Ogni utente appartiene a un’area di autenticazione (dominio, nome del computer, ecc.). Le aree di autenticazione e gli utenti vengono creati automaticamente quando un utente effettua la registrazione su una macchina sulla quale è installato un componente ESA, accede a un servizio protetto da ESA o se ESA è sincronizzato con il server LDAP. Le aree di autenticazione possono essere create anche manualmente.
L'immagine sottostante mostra un'area di autenticazione personalizzata e un'area di autenticazione automatica. L'area di autenticazione personalizzata è stata creata manualmente (Custom Realm (Area di autenticazione personalizzata)) ed è stato aggiunto l’utente Test User (Utente di prova). L'area di autenticazione automatica e i relativi due utenti sono stati creati automaticamente (admin, Test (Amministratore, prova)). Il nome dell'area di autenticazione è stato ricavato dal computer su cui è installata la protezione Login Windows e dai due utenti che hanno eseguito l’autenticazione. La colonna stato indica se l'utente ha abilitato l'autenticazione 2FA (e se l’ha utilizzata almeno una volta) o se la configurazione dell'autenticazione 2FA è in sospeso. Nella colonna Display Name (Nome visualizzato) è visualizzato il valore del campo Display Name (Nome visualizzato). Può essere definito manualmente per utente o sincronizzato automaticamente da Active Directory (o LDAP) in base alla configurazione in Settings (Impostazioni) > Default Fields (Campi predefiniti) > selezionare Default display name field (Campo nome visualizzato predefinito) come Field type (Tipo di campo).
Crea manualmente un'area di autenticazione personalizzata
1.Fare clic sull’icona accanto alle Realms (Aree di autenticazione) e fare clic su Create custom Re (Crea area di autenticazione personalizzata).
2.Inserire la stringa desiderata sia per il Realm ID (ID area di autenticazione) sia per il Realm Name (Nome area di autenticazione), selezionare Category (Categoria) e fare clic su Save (Salva).
Per creare manualmente un'area di autenticazione corrispondente a un dominio Active Directory, è necessario trovare il GUID.
Ottenere il GUID del dominio da ADUC
1.Aprire Utenti e computer di Active Directory.
2.Fare clic con il pulsante destro del mouse sul nome del dominio e selezionare Proprietà.
3.Fare clic sulla scheda Editor attributi e ricercare ObjectGUID.
4.Utilizzare il valore ObjectGUID nel campo ID area di autenticazione durante la creazione manuale dell'area di autenticazione.
Ottenere il GUID del dominio tramite PowerShell
1.Aprire Windows PowerShell.
2.Eseguire uno dei seguenti comandi:
Get-ADDomain | select -Property ObjectGUID |
oppure
wmic ntdomain list full |
Per creare manualmente un'area di autenticazione corrispondente a un computer locale (non utenti di dominio), è necessario il SID.
2.Eseguire PsGetsid.EXE o PsGetsid64.EXE (in base alla versione dei bit di Windows) dal prompt dei comandi di Windows o Windows PowerShell.
Aggiungere manualmente un utente a un'area di autenticazione
1.Selezionare l’area di autenticazione nella quale si desidera aggiungere l’utente.
2.Fare clic su Add user.
3.Inserire il nome, il numero di telefono e, facoltativamente, l'indirizzo e-mail dell'utente.
4.Fare clic su Create user.
Formato numero di telefono I numeri dei telefoni cellulari devono avere il formato internazionale “+421987654321”, dove +421 è il prefisso internazionale del Paese. Per esempio, il numero di telefono slovacco 0987654321 dovrebbe essere inserito come +421987654321, dove lo zero iniziale “0” viene sostituito con il prefisso internazionale della Slovacchia “+421”. Il numero di telefono statunitense “201-321-4567” dovrebbe essere inserito come “+12013214567”, dove “+1” è il prefisso internazionale. |
È anche possibile importare utenti in un'area di autenticazione personalizzata da un file.
Invia l'applicazione mobile agli utenti
Il metodo di provisioning predefinito è ESET servers (server ESET), vale a dire invio tramite SMS, che richiede un numero di telefono valido al quale verrà inviato il collegamento di installazione.
1.Selezionare la casella di controllo accanto agli utenti che riceveranno l’applicazione mobile.
2.Fare clic su Send application.
3.Chiudere la finestra di conferma.
La validità del collegamento di provisioning La validità del collegamento di provisioning è di 24 ore o fino al primo utilizzo. |
Attiva l’autenticazione 2FA per utente
Fare clic su un utente e selezionare le opzioni di autenticazione desiderate. Le opzioni più utili sono autenticazione tramite OTP e tramite notifiche Push. Se sono state abilitate e importate, le Hard Token OTPs (OTP degli hard token), gli hard token saranno disponibili nel menu a discesa sotto la barra del dispositivo di scorrimento dell’Hard Token. Fare clic su Save (Salva) per salvare le modifiche.
Se un metodo di autenticazione richiede alcune informazioni, viene visualizzata una notifica. È ancora possibile salvare il profilo dell’utente e, in caso di abilitazione dell’autoregistrazione, l’utente può inserire le informazioni mancanti dopo aver effettuato la registrazione alla 2FA (Autenticazione a due fattori).
In caso di attivazione di Mobile Application OTP (Password monouso applicazione mobile) o Mobile Application Push (Push applicazione mobile), verrà visualizzata una notifica per ricordare all'utente di inviare il messaggio di registrazione/provisioning per l'attivazione dell'applicazione mobile.
Facendo clic su Do not send (Non inviare) o Cancel (Annulla), è possibile utilizzare il pulsante Actions (Azioni) per inviare il messaggio di registrazione/provisioning in un secondo momento. Facendo clic su Send (Invia), comparirà una finestra informativa in cui è possibile visualizzare l’URL univoco dell’applicazione inviato all’utente.
Abilitazione dell’autenticazione a due fattori per più di un utente alla volta
1.Selezionare la casella di controllo accanto agli utenti per i quali viene abilitata l’autenticazione a due fattori.
2.Fare clic su 2FA (Autenticazione a due fattori), selezionare Enable (Abilita) e scegliere l’opzione di autenticazione desiderata.
3.Chiudere la finestra di conferma.
Per istruzioni sull'installazione e sull'utilizzo dell'applicazione mobile, fare clic sul sistema operativo mobile desiderato per essere reindirizzati all'articolo corrispondente: