Двофакторна автентифікація

Двофакторна автентифікація (2FA) — це метод додаткового захисту облікового запису користувача.

Перший «фактор» — це логін і пароль, а другий «фактор» — одноразовий код, який генерує додаток-автентифікатор (наприклад, Google Authenticator або його аналоги).

Загальна схема роботи: адміністратор FossDoc може ввімкнути цей режим для одного чи кількох користувачів. Під час наступного входу в систему клієнт FossDoc після введення логіну та пароля покаже вікно початкової ініціалізації 2FA. У цьому вікні з’явиться QR-код, який потрібно відсканувати додатком-автентифікатором на телефоні.

У додатку одразу з’явиться новий запис із 6-значним кодом. Такі коди генеруються автоматично, залежать від секретного ключа, пов’язаного з вашим обліковим записом, та поточного часу, і оновлюються кожні 30 секунд. Введіть показані цифри у вікно — і ви зможете увійти в клієнт FossDoc.

Важливо розуміти: QR-код відображається лише один раз, після цього система його більше не показує. Лише ваш додаток на телефоні знає секретний ключ і може генерувати правильні коди для входу.

За потреби адміністратор FossDoc може вимкнути режим 2FA (секретний ключ при цьому зберігається) або виконати перегенерацію секретного ключа. У такому разі попередні записи в додатках-автентифікаторах перестануть працювати.

Додатки-автентифікатори генерують коди, і доступ до мережі Інтернет для цього їм не потрібен. Серверу FossDoc також не потрібен доступ до мережі для роботи двофакторної автентифікації.

Підключення у користувачів

Для активації режиму 2FA у одного користувача достатньо встановити чек-бокс та зберегти зміни. Якщо потрібно відразу ввімкнути цей режим для кількох користувачів, натисніть кнопку для виклику майстра, де ви можете відзначити всіх, кому це необхідно.

Увімкнення двофакторної автетифікації для користувача Адміністрування користувача та 2FA

Кнопка скидання налаштувань може знадобитися лише в тому випадку, коли користувач загубив телефон або випадково видалив обліковий запис з додатку.

Вхід до системи користувача

Перший раз після вводу логіна та пароля клієнт відобразить діалог з QR кодом, який потрібно сканувати через додаток-автентифікатор:

QR код 2FA для сканування додатком автентифікації

Користувач отримує код з додатка, та натискає "Підключитися", і далі працює в звичайному режимі. На боці сервера система розуміє, що початкову ініціалізацію успішно проведено, та більше цей QR-код відображатися не буде. Натомість кожного разу буде потрібно вводити лише цифри з додатку.

Запит коду 2FA