Включите метод проверки подлинности «Приложение для проверки подлинности» в Workspace ONE Access для двухфакторной проверки подлинности, чтобы при входе в приложение Workspace ONE Intelligent Hub или в любое приложение, для которого требуется двухфакторная проверка подлинности, пользователям требовалось ввести одноразовый секретный код на основе времени (TOTP — Time-based One-time Passcode) в качестве второго набора учетных данных.

Двухфакторная проверка подлинности представляет собой средство усиления безопасности, требующее двукратного подтверждения личности для входа в систему. Пользователи с помощью приложения средства проверки подлинности, установленного на их устройствах, создают секретный код TOTP и используют его вместе с первым набором учетных данных для проверки подлинности, чтобы войти в приложение. Пользователи могут использовать предпочитаемое приложение средства проверки подлинности на личном или рабочем мобильном устройстве, чтобы создать секретный код TOTP. Устройство не обязательно должно быть управляемым или зарегистрированным устройством с Workspace ONE UEM.

Если включить проверку подлинности с помощью приложения средства проверки подлинности в службе Workspace ONE Access, можно настроить количество попыток ввода неправильного секретного кода в течение периода повторных попыток, пока не наступит период ожидания длительностью пять минут. В конфигурациях по умолчанию разрешено до пяти неудачных попыток в течение пяти минут. После шестой неудачной попытки в течение пяти минут будет невозможно выполнить повторную проверку подлинности для учетной записи пользователя на протяжении пяти минут. Использование периода ожидания после ввода определенного количества неверных секретных кодов обеспечивает более надежную защиту от потенциальных злоумышленников. Кроме того, этот период можно адаптировать под требования организации к безопасности.

Можно настроить настраиваемые сообщения, отображаемые на экране входа, чтобы объяснить, как зарегистрировать приложение и что делать, если пользователю не удается войти в систему.

В политике доступа по умолчанию или в политике доступа к приложениям можно настроить правила, требующие проверку подлинности с помощью приложения средства проверки подлинности в качестве второй формы проверки подлинности.

Приложение для проверки подлинности встроено в приложение Workspace ONE Intelligent Hub для устройств iOS и Android. Конечные пользователи могут коснуться значка своего профиля, чтобы открыть экран своей учетной записи, а затем нажать кнопку Двухфакторная проверка подлинности, чтобы настроить функции средства проверки подлинности.

Конечные пользователи также могут загрузить приложение для проверки подлинности, созданное на основе алгоритма TOTP RFC 6238, из Apple App Store или Google Play. Они также могут использовать диспетчер паролей на основе браузера, который позволяет создать секретный код TOTP для входа в систему.

При первом входе пользователи входят в систему, используя первый набор необходимых учетных данных для проверки подлинности, и им предлагается зарегистрировать свое приложение средства проверки подлинности. Созданное вами настраиваемое сообщение о регистрации отображается на экране «Регистрация приложения средства проверки подлинности». Для регистрации они с помощью сканера, встроенного в приложение средства проверки подлинности, сканируют QR-код и вводят шестизначный секретный код, который отображается в приложении средства проверки подлинности. Если для сканирования QR-кода недоступна камера, пользователи могут вручную ввести секретный код в приложении средства проверки подлинности, чтобы получить шестизначный секретный код. Чтобы просмотреть секретный код для ввода в приложение средства проверки подлинности, пользователям нужно нажать вместо этого используйте код на экране регистрации. В учетных записях пользователей консоли Workspace ONE Access не хранятся сведения для идентификации личности. В них сохраняется только дата регистрации.

Рис. 1. Экран регистрации приложения средства проверки подлинности с помощью QR-кода
Снимок экрана с сообщением о регистрации приложения средства проверки подлинности, QR-кодом и секретным кодом устройства

Когда пользователи входят в систему после регистрации приложения средства проверки подлинности, им предлагается ввести шестизначный секретный код, который приложение средства проверки подлинности отображает на устройстве. Пользователи могут ввести секретный код в течение ограниченного времени (обычно 30 секунд), прежде чем отобразится новый секретный код.

Настройка приложения средства проверки подлинности и его включение во встроенном поставщике удостоверений

Процедура

  1. В консоли Workspace ONE Access на странице Интеграции > Методы проверки подлинности нажмите Приложение средства проверки подлинности.
  2. Щелкните НАСТРОИТЬ.
    Параметр Описание
    Включение проверки подлинности с помощью приложения для проверки подлинности Щелкните значок переключателя, чтобы включить проверку подлинности с помощью адаптера приложения средства проверки подлинности.
    Количество разрешенных повторных попыток Введите количество попыток ввода неверного секретного кода, пока попытка входа в систему не завершится ошибкой и пользователю не будет отказано в доступе.

    Можно установить значение от 1 до 15.

    Значение по умолчанию — 5 попыток.

    Период повторных попыток Введите количество минут, в течение которых пользователь должен повторить попытку ввода секретного кода, прежде чем он будет заблокирован.

    Для периода повторных попыток можно установить значение от 5 до 60 минут.

    По умолчанию задано значение 5 минут.

    Время блокировки Введите количество минут, в течение которых пользователь должен подождать после окончания периода повторных попыток, прежде чем он сможет повторить попытку входа.

    Для времени блокировки можно установить значение от 5 до 60 минут.

    По умолчанию задано значение 5 минут.

    Введите настраиваемый текст для регистрации Предоставьте описание порядка входа для пользователя, включая информацию о том, что нужно установить и что нужно сделать.

    Ниже приведен пример текста.

    Установите на устройство приложение средства проверки подлинности и отсканируйте этот QR-код. Введите одноразовый секретный код, который отобразится в приложении средства проверки подлинности.
    Введите настраиваемый текст для восстановления Предоставьте описание действий для пользователя, который не может выполнить вход из приложения для проверки подлинности.

    Сценарий входа по умолчанию предоставляет пользователю возможность повторить попытку ввода секретного кода 5 раз в течение 5 минут, после чего он блокируется на 5 минут, а затем снова может повторить попытку.

  3. Нажмите кнопку СОХРАНИТЬ.
  4. Перейдите в раздел Интеграции > Поставщики удостоверений и выберите встроенного поставщика удостоверений.
    1. а.В разделе «Методы проверки подлинности» выберите Приложение средства проверки подлинности.
    2. б.Нажмите кнопку Сохранить.

Следующие шаги

Создайте правило политики доступа, чтобы использовать приложение средства проверки подлинности в качестве второго метода двухфакторной проверки подлинности. См. Добавление правил проверки подлинности в политику доступа Workspace ONE Access по умолчанию.

Сброс регистрации приложения средства проверки подлинности для пользователя

Если пользователь обращается к вам, так как ему не удается с помощью своего приложения средства проверки подлинности войти в приложение Workspace ONE Intelligent Hub или в приложение в каталоге Hub, для которого требуется двухфакторная проверка подлинности, необходимо сбросить настройки зарегистрированного приложения средства проверки подлинности из консоли. При нажатии кнопки Сбросить зарегистрированное приложение средства проверки подлинности удаляется. При следующем входе в систему пользователям будет предложено снова зарегистрировать приложение средства проверки подлинности.

  1. В консоли Workspace ONE Access на странице Учетные записи > Пользователи выберите имя пользователя, запрашивающего сброс.
  2. На вкладке Двухфакторная проверка подлинности в разделе Приложение средства проверки подлинности нажмите кнопку СБРОСИТЬ.
  3. В отобразившемся диалоговом окне нажмите СБРОСИТЬ, чтобы подтвердить действие.