Варіанти доставки
Варіанти доставки OTP за замовчуванням (у SMS-повідомленнях, у мобільній програмі) відмінно підходять для більшості користувачів. Окрім цих способів, ESA дозволяє налаштувати й інші способи відповідно до ваших потреб.
У ESA Web Console клацніть Settings > Delivery Options.
Виберіть Email або вкажіть шлях до спеціального сценарію, який потрібно застосувати для надання або доставки одноразових паролів. Клацніть Insert attributeInsert attribute, щоб переглянути список доступних параметрів, які можна передати в спеціальний сценарій. Наприклад, для доставки одноразового пароля потрібно використовувати параметр [OTP]. Окрім того, можна вказати спеціальний рядок, який передаватиметься у ваш сценарій (див. parameter1 на знімку вище).
Авторизація команд
У ESET Secure Authentication On-Prem 3.0.21 і новіших версій для параметра Use custom application потрібна авторизація команд.
1.Створіть папку authorized_command у папці, що відображається під полем команди. У нашому прикладі це папкC:\Program Files\ESET Secure Authentication On-Prem\.
2.Згідно з інструкціями під полем командного рядка створіть файл "delivery_provisioning.txt" або "delivery_opt.txt" у папці authorized_command указаний хеш у папці.
3.Натисніть кнопку Зберегти.
Використання електронної пошти як способу доставки (надання) за замовчуванням
Щоб доставляти OTP та (або) інформацію про надання електронною поштою, спершу налаштуйте робочий SMTP-сервер:
1.На ESA Web Console відкрийте Settings > SMTP Server і вкажіть необхідні дані.
a.Якщо використовується SSL/TLS, на сервері, де розміщено Authentication Server, має бути довіреним сертифікат SSL SMTP.
2.Для перевірки конфігурації скористайтесь опцією Send test email. Якщо лист надійде на вказану адресу, конфігурація правильна.
3.У меню Settings > Delivery Options виберіть Email і натисніть Save.
4.Увімкніть Паролі OTP у SMS-повідомленнях для користувача:
a.Клацніть Користувачі.
b.Виберіть користувача, увімкніть Паролі OTP у SMS-повідомленнях і клацніть Зберегти.
5.Якщо ввімкнено самореєстрацію, переконайтеся, що параметр Паролі OTP у SMS-повідомленнях увімкнено в розділі Параметри > Реєстрація > Типи автентифікації за замовчуванням.
Безпека способів автентифікації ESA пропонує широкий спектр способів 2FA, які задовольнять різні потреби наших клієнтів. Найбезпечніший і дуже зручний спосіб – push-сповіщення в мобільних програмах (push-автентифікація). Також дуже надійні, але не завжди зручні способи: одноразові паролі (OTP) у мобільних програмах, апаратні маркери, FIDO. Також можна використовувати одноразові паролі в SMS-повідомленнях, але вони не дуже безпечні через недоліки захисту систем доставки SMS. OTP, які надсилаються електронною поштою, також не завжди безпечні, оскільки деякі схеми використання не дуже надійні. |
Зразок сценарію, доступний у типі розгортання Active Directory Integration: доставка OTP за допомогою налаштовуваної поштової програми
Попередні вимоги
•Знати дані SMTP для шлюзу електронної пошти, який використовуватиметься для надсилання повідомлень із паролями OTP
•Створення спеціального сценарію для надсилання електронних листів
•Створити спеціальний сценарій .bat (шлях до нього потрібно буде задати на , як показано на знімку екрана вище). Цей сценарій ESA Web Console викликатиме спеціальний сценарій надсилання електронних листів.
•Коли ви переглядаєте відомості про користувачів через інтерфейс керування Active Directory Users and Computers, для кожного користувача з 2FA, який отримує OTP passwords електронною поштою, має бути вказана адреса електронної пошти (на вкладці General в полі Email).
Дані SMTP У наведеному вище зразку сценарію python атрибути smtpserver:port, username і password замінюються відповідними даними SMTP. |
Простий сценарій .BAT для виклику сценарію sendmail.py під час передавання в нього важливих параметрів. Файлу надано ім’я CustomMail.bat
c:\Python\python.EXE c:\work\sendmail.py %1 %2
Попередні вимоги У цьому зразку передбачається, що бібліотеку python інстальовано на головному комп’ютері з компонентом ESA Authentication Server, і вам відомий шлях до файлу python.exe. |
У полі Sending OTP by укажіть шлях до сценарію CustomMail.bat, виберіть важливі параметри (наприклад, [E-mail-Addresses] і [OTP]), а потім клацніть Save
Надання пароля (доставку в мобільній програмі) можна налаштувати так само, як і параметри [PHONE] і [URL].
Порівняння доставки електронною поштою з доставкою у SMS-повідомленнях Порівняно з доставкою одноразових паролів у SMS-повідомленнях (або використанням виділеної мобільної програми), доставка паролів у електронних листах є менш безпечною, оскільки лист можна прочитати на будь-якому пристрої користувача. Цей метод не гарантує, що той, хто отримає повідомлення, є власником зареєстрованого телефону (телефонного номеру). |