Керування користувачами: підготовка

Усі операції з керування користувачами доступні в розділі Users консолі Web Console.

Підготовка – це надання користувачам можливості використовувати другий фактор автентифікації під час доступу до пристроїв (служб), захищених ESET Secure Authentication.

В ESA 3.0 необов’язково вказувати номер телефону для користування мобільною програмою ESA (крім випадків, коли використовується підготовка за допомогою SMS). Номер телефону для кожного користувача вказується вручну під час створення чи редагування облікового запису користувача на Web Console або імпортується разом з іншими відомостями про користувача під час синхронізації з LDAP. Якщо ввімкнено самореєстрацію, номер телефону вводиться самим користувачем.

Кожен користувач належить до певної області (домен, ім’я комп’ютера тощо). Області та користувачі створюються автоматично, коли користувач входить у систему на комп’ютері, на якому інстальовано компонент ESA, входить у службу, захищену за допомогою ESA, або коли ESA синхронізується з LDAP. Можна також створювати спеціальні області вручну.

На зображені нижче показана спеціальна область і автоматична область. Спеціальна область була створена вручну (Custom Realm), а користувач Test User був доданий у неї. Автоматичну область з її двома користувачами було створено автоматично (admin, Test). Ім’я області отримано з комп’ютера, на якому інстальовано модуль захисту входу в ОС Windows і з якого ввійшли в систему ці 2 користувача. У стовпці статусу вказано, чи ввімкнено для користувача автентифікацію 2FA (і чи застосовувалася вона хоча б раз), або вказано, що налаштування 2FA ще очікується. У стовпці Display Name відображається значення поля Display Name. Його можна вказати вручну для кожного користувача або автоматично синхронізувати з Active Directory (або LDAP) на основі відповідної конфігурації: ПараметриSettings > Default Fields > Default display name field (виберіть для цього параметра значення Default display name fieldField type.

users

 

Створення спеціальної області вручну

1.Клацніть піктограму icon_add-or-create біля заголовка Realms і виберіть пункт Create custom Re.

2.Укажіть значення для Realm ID й Realm Name, виберіть Category та натисніть Save.

Щоб створити область, яка відповідає домену Active Directory, уручну, необхідно знайти GUID.

Отримання GUID домену з ADUC

1.Відкрийте інструмент керування Active Directory — користувачі та комп’ютери.

2.Правою кнопкою миші клацніть ім’я домену й виберіть Properties.

3.Відкрийте вкладку Attribute Editor і знайдіть параметр ObjectGUID.

4.Використовуйте значення ObjectGUID в полі Realm ID під час створення області вручну.

Отримання GUID домену за допомогою PowerShell

1.Відкрийте Windows PowerShell.

2.Виконайте одну з таких команд:

Get-ADDomain | select -Property ObjectGUID

АБО

wmic ntdomain list full

Щоб вручну створити область, яка відповідатиме локальному комп’ютеру (користувачам, які не є користувачами домену), необхідно мати SID.

1.Завантажте PsGetSid.

2.Запустіть PsGetsid.EXE або PsGetsid64.EXE (залежно від розрядності версії Windows) з командного рядка Windows або Windows PowerShell.

Додавання користувача в область уручну

1.Виберіть область, у яку потрібно додати користувача.

2.Натисніть Add user.

3.Введіть ім’я, номер телефону й за потреби адресу електронної пошти користувача.

4.Натисніть Create user.


important

Формат номера телефону

Номери мобільних телефонів мають бути в міжнародному форматі: +421987654321, де +421 — код країни. Наприклад, словацький номер телефону 0987654321 буде введено як +421987654321, тобто 0 на початку замінюється кодом країни (+421). Номер телефону "201-321-4567" необхідно ввести у форматі "+12013214567", де "+1" — код країни.

Окрім того, можна імпортувати користувачів у спеціальну область із файлу.

Надсилання мобільної програми користувачам

За замовчуванням для метода підготовки використовується значення ESET servers. Для нього використовуються SMS-повідомлення, для яких потрібен дійсний номер телефону (на нього надходить посилання для інсталяції програми).

1.Установіть прапорець поруч із користувачами, які отримають мобільну програму.

2.Натисніть Send application.

3.Закрийте вікно підтвердження.


note

Термін дії посилання для підготовки

Посилання для підготовки дійсне протягом 24 годин або до першого використання.

Увімкнення автентифікації 2FA для кожного користувача

Клацніть користувача й виберіть потрібні параметри автентифікації. Автентифікація за допомогою OTP та Push-сповіщень найзручніша. Якщо Hard Token OTPs увімкнено й імпортовано, апаратні маркери будуть доступні в розкривному меню під повзунком Hard Token. Щоб зберегти зміни, натисніть Save.

users_enable-2fa_per-user

 

Якщо для методу автентифікації потрібна буде додаткова інформація, відображається відповідне сповіщення. Можна все одно зберегти профіль користувача; якщо самореєстрацію ввімкнено, користувач може заповнити відсутню інформацію після реєстрації для використання 2FA.

Якщо ввімкнено Mobile Application OTP або Mobile Application Push, з’явиться сповіщення з нагадуванням про те, що потрібно надіслати повідомлення про реєстрацію/підготовку для активації мобільної програми.

users_2fa_per-user_enabled_send-provisioning-message

 

Якщо натиснути Do not send або Cancel, пізніше можна скористатися кнопкою Actions, щоб надіслати повідомлення про реєстрацію чи розподілення. Якщо натиснути Send, в інформаційному вікні відобразиться унікальна URL-адреса програми, надіслана користувачу.

Увімкнення автентифікації 2FA для кількох користувачів відразу

1.Установіть прапорець поруч із користувачами, для яких ви вмикаєте 2FA.

2.Натисніть 2FA, виберіть Enable, а потім — потрібний варіант автентифікації.

3.Закрийте вікно підтвердження.

 

Щоб отримати інструкції з інсталяції й використання мобільної програми, клацніть потрібну мобільну ОС, щоб відкрити відповідну статтю:

Android

iPhone

Windows Phone

Див. список IP-адрес і портів, які використовуються для обміну даними з ESET Secure Authentication Provisioning Server.