Двухфакторная аутентификация

Двухфакторная аутентификация (2FA) — это метод дополнительной защиты учётной записи пользователя.

Первый "фактор" — это логин и пароль, а второй "фактор" — специальный код, который генерируется приложением-аутентификатором (например, Google Authenticator или его аналоги).

Общая схема работы: администратор FossDoc может включить этот режим для одного или нескольких пользователей. При следующем входе в систему клиент FossDoc после ввода логина и пароля покажет диалог начальной инициализации 2FA. В этом диалоге будет QR-код, который нужно отсканировать приложением-аутентификатором на телефоне.

В приложении вы сразу увидите новую запись с 6-значным кодом. Такие коды генерируются автоматически, зависят от секретного ключа, связанного с вашим учётным записью, и текущего времени, и обновляются каждые 30 секунд. Введите предложенные цифры в диалоге — и вы сможете войти в клиент FossDoc.

Важно: QR-код показывается только один раз, после этого его невозможно снова получить в системе. Только ваше приложение на телефоне знает секретный ключ и может генерировать правильные коды для входа.

При необходимости администратор FossDoc может отключить режим 2FA (при этом секретный ключ сохраняется) или выполнить перегенерацию секретного ключа. В последнем случае старые записи в приложениях-аутентификаторах перестанут работать.

Приложения-аутентификаторы генерируют коды, и доступ к сети Интернет для этого им не нужен. Серверу FossDoc также не требуется доступа к сети для работы двухфакторной аутентификации.

Подключение у пользователей

Для включения режима 2FA у одного пользователя достаточно установить чек-бокс и сохранить изменения. Если требуется сразу включить этот режим для нескольких пользователей, используйте кнопку для вызова мастера, где вы можете отметить всех, кому это необходимо.

Включение двухфакторной аутентификации для пользователя Администрирование пользователя и 2FA

Кнопка сброса настроек может потребоваться только в том случае, если пользователь потерял телефон или случайно удалил аккаунт из приложения.

Вход в систему пользователя

Первый раз после ввода логина и пароля клиент отобразит диалог с QR кодом, который нужно сканировать через приложение-аутентификатор:

QR код 2FA для сканирования приложением аутентификации

Пользователь получает код из приложения и нажимает "Подключиться" и продолжает работать в обычном режиме. На стороне сервера система понимает, что начальную инициализацию успешно проведен, и больше этот QR-код отображаться не будет. Однако каждый раз потребуется вводить только цифры из приложения.

Запрос кода 2FA