Salta al contenuto

Autenticazione a due fattori

L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza e impedisce l'accesso alla sessione dei tuoi utenti anche se qualcuno conosce la loro password .

Una combinazione di due fattori diversi viene utilizzata per raggiungere un livello di sicurezza maggiore:

  1. qualcosa che conoscono, una password .

  2. qualcosa che hanno, un dispositivo - come uno smartphone - con un'app di autenticazione installata. .

Puoi utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:

Ogni volta che un utente accede alla sua sessione remota, avrà bisogno della sua password e di un codice di verifica disponibile dal suo telefono cellulare. Una volta configurata, l'app di autenticazione mostrerà un codice di verifica per consentirgli di accedere in qualsiasi momento. Funziona anche se il suo dispositivo è offline.

OPPURE puoi decidere di ricevere i codici di verifica tramite SMS In questo caso, dovrai creare un account gratuito su Twilio .

L'autenticazione a due fattori è disponibile con HTML5 e connessioni Remoteapp solo sul portale web di lavoro remoto , su lavoro remoto Edizioni Web Mobile e Enterprise Questo modo di autenticazione non supporta l'accesso tramite client di Desktop Remoto.

Per fornire una soluzione ancora più sicura, le connessioni RDP sono negate per gli utenti con 2FA abilitato.

Come prerequisito, il server di lavoro remoto e i dispositivi devono essere puntuali. Vedi il Sincronizzazione del tempo e Impostazioni sezioni per ulteriori informazioni sulla configurazione.

Attivazione della licenza dell'Add-On per l'autenticazione a due fattori

La funzione di Two-Factor Authentication può essere trovata nella scheda Add-On di AdminTool:

Activating-Two-Factor-Authentication 1

Per attivare la tua licenza, copia il numero di serie che puoi trovare in fondo alla tile Home:

Activating-Two-Factor-Authentication 2

Poi, connettiti al nostro Portale di Licenza e inserisci il tuo numero d'ordine, il tuo indirizzo e-mail, il numero di serie e seleziona "Two-Factor Authentication" nell'elenco a discesa qui sotto:

Activating-Two-Factor-Authentication 3

Riceverai il tuo file license.lic. Poi, vai al Licenza tab e fai clic sul pulsante "Attiva la tua licenza":

Activating-Two-Factor-Authentication 5

Activating-Two-Factor-Authentication 5

Activating-Two-Factor-Authentication 6

Abilita l'autenticazione a due fattori

Eseguire i seguenti passaggi per abilitare l'autenticazione a due fattori per il server o il deployment del lavoro remoto. Se il tuo deployment per il lavoro remoto è configurato per utilizzare più server, esegui questo compito sul server di lavoro remoto esposto come unico punto di accesso per gli utenti o che ha il ruolo di reverse proxy.

  1. Apri l'applicazione di amministrazione dell'autenticazione a due fattori. Lo stato dell'autenticazione a due fattori e lo stato della licenza sono visualizzati:

Two-factor Authentication

Per impostazione predefinita, 2FA è disabilitato.

Abilitalo:

Two-factor Authentication is enabled

Aggiungi utenti e gruppi

Una volta abilitata l'autenticazione a due fattori, puoi configurare gli utenti per l'autenticazione a due fattori.

  1. Dall'applicazione di amministrazione dell'autenticazione a due fattori, fai clic su il Gestire gli utenti tab.

Manage Users and Groups

  1. Poi, fai clic su Aggiungi per selezionare utenti e/o gruppi di utenti. Il Seleziona Utenti o Gruppi si apre la scatola.

Add Users and Groups

  1. Aggiungi quanti più utenti e gruppi necessario e poi fai clic OK Gli utenti e i gruppi vengono aggiunti all'elenco e abilitati per l'autenticazione a due fattori.

Modifica utenti

Nella stessa scheda, puoi modificare il modo in cui gli utenti ricevono i codici di verifica selezionando un utente e facendo clic sul pulsante "Modifica":

Edit Users

L'utente riceve i codici di verifica sull'app di autenticazione per impostazione predefinita. Puoi scegliere che li riceva tramite SMS selezionando l'opzione e aggiungendo il numero di telefono dell'utente nel campo sottostante.

Rimuovi utenti e gruppi

Per rimuovere utenti o gruppi, seleziona l'utente o il gruppo e poi fai clic su Rimuovi Un messaggio di conferma viene visualizzato.

Remove Users and Groups

Clicca L'utente o il gruppo viene rimosso dalla sua lista e non si connetterà più utilizzando l'autenticazione a due fattori.

Ripristina configurazione per gli utenti

In caso di perdita del dispositivo di autenticazione per un utente, o se l'utente ha bisogno di visualizzare nuovamente il codice QR segreto, è necessario ripristinare le impostazioni di autenticazione dell'utente.

  1. Dall'applicazione di amministrazione dell'autenticazione a due fattori, fai clic su il Gestire gli utenti tab.

  2. Seleziona uno o più utenti attivati e poi clicca su Ripristina Viene visualizzato un messaggio di conferma:

Reset Users

  1. Clicca Gli utenti selezionati riceveranno un nuovo codice QR al prossimo accesso e dovranno scansionarlo nell'app di autenticazione del loro dispositivo.

Puoi anche modificare il numero di telefono dell'utente, in modo che possa ricevere un codice di verifica sul suo nuovo dispositivo.

Iscrivi utente per l'autenticazione a due fattori

Una volta che un utente è stato abilitato all'uso dell'autenticazione a due fattori, un messaggio di attivazione verrà visualizzato al suo prossimo accesso riuscito dal portale Web di lavoro remoto.

Activate Two-factor Authentication

Per completare i passaggi richiesti, hai due opzioni: generare codici tramite un'app di autenticazione, oppure far ricevere i codici all'utente tramite SMS.

Ricevi codici con un'applicazione Authenticator

L'utente deve installare un'app di autenticazione su un dispositivo portatile, come il proprio smartphone.

Puoi utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:

Si prega di utilizzare la documentazione di ciascuna app per ulteriori dettagli su come procedere per aggiungere il proprio account di lavoro remoto.

Affinché l'utente possa ricevere i codici di verifica tramite SMS, è necessario prima abilitarlo. Clicca su il Configura SMS tab:

Configure SMS

remote-work sfrutta Twilio per inviare codici di verifica tramite SMS. Twilio è una piattaforma cloud di terze parti, non affiliata a remote-work.

  1. Crea semplicemente un account gratuito su Twilio cliccando sul pulsante qui sotto “Inizia la tua prova gratuita con Twilio”:

Configure SMS

  1. Sul tuo dashboard dell'account Twilio per attivare il tuo Numero di Prova:

Configure SMS

  1. Il passaggio successivo è necessario solo per le versioni di prova. Consente a Twilio di verificare il numero di telefono effettivo su cui verranno inviati gli SMS.

Inserisci questo numero sotto il Menu "Numeri di telefono" - "ID chiamante verificati" tab :

Configure SMS

  1. Potrai quindi inserire il tuo SID account, Token di autenticazione e Numero di prova come il numero di telefono su di esso Configura SMS scheda di lavoro remoto:

Configure SMS

Configure SMS

Poi, fai clic su Salva. Verrà visualizzato il seguente messaggio:

Configure SMS

Puoi gestire il tuo abbonamento Twilio su Gestisci l'abbonamento Twilio sezione, in fondo al Configura SMS Amministra il tuo account, visualizza lo stato del servizio o contatta il centro assistenza Twilio semplicemente cliccando sui pulsanti corrispondenti.

Accedi utilizzando l'autenticazione a due fattori

Una volta che un utente ha configurato il proprio account di lavoro remoto nella propria app di autenticazione, sarà in grado di connettersi utilizzando la propria password e il codice fornito dalla propria app di autenticazione o tramite SMS.

Login Using Two-factor Authentication

TSplus Remote Work server e dispositivi devono essere sincronizzati. Ciò significa che l'ora e la data del server devono essere sincronizzate con un server di riferimento. I dispositivi devono anche avere la sincronizzazione dell'ora, indipendentemente dal fuso orario in cui sono configurati.

Se una richiesta di autenticazione proviene da un dispositivo la cui data e ora non sono sincronizzate, o se la data e l'ora del server non sono sincronizzate, questa richiesta potrebbe essere rifiutata.

La convalida delle informazioni tra il dispositivo e il server è relativa all'ora UTC.

In the Impostazioni sezione, il parametro Discrepency viene utilizzato per gestire il periodo di validità del codice, in intervalli di 30 secondi.

Esempio di convalida o autenticazione valida:

  • il server è sincronizzato con un server di tempo, il fuso orario è UTC + 2, sono le 14:30
  • il dispositivo è sincronizzato con un server di tempo, il fuso orario è UTC + 1, sono le 13:30
  • il parametro Discrepency è configurato a 60, ovvero un periodo di validità del codice di 30 minuti
  • riferito all'ora UTC, l'ora del dispositivo e l'ora del server sono identiche.

Esempio di convalida o autenticazione non valida:

  • il server è sincronizzato con un server di tempo, il fuso orario è UTC + 2, sono le 14:30
  • il dispositivo non è sincronizzato con un server di tempo, il fuso orario è UTC-1, l'ora è impostata manualmente alle 13:30
  • il parametro Discrepency è configurato a 60, ovvero un periodo di validità del codice di 30 minuti
  • l'orario del server riferito all'ora UTC è 12:30 am
  • l'ora comunicata dal Dispositivo, riferita all'ora UTC, è 14:30
  • la differenza è di 120 minuti, il codice di convalida è quindi rifiutato.

Two-factor Authentication-Settings

La scheda Impostazioni consente di whitelist utenti, affinché possano connettersi utilizzando un client RDP, senza la necessità di inserire un codice di autenticazione a due fattori.

Clicca sul pulsante "Aggiungi" per aggiungere un utente e rimuovi un utente selezionandolo e cliccando sul pulsante "Rimuovi".

Two-factor Authentication-Settings

La scheda Avanzate consente di configurare le impostazioni dettagliate dell'autenticazione a due fattori.

Two-factor Authentication-Advanced-Settings

Discrepanza

Puoi modificare il valore di Discrepanza, che ti consente di impostare il tempo di validazione di un codice di verifica.

Una discrepanza di 3 significa che lo stesso codice di verifica rimane valido 90 secondi indietro e avanti rispetto al suo periodo di validità originale di 30 secondi. Il valore predefinito è 480, il che significa 480 x 30 secondi = 4 ore.

Two-factor Authentication-Advanced-Settings

Emittente

Una stringa che indica il nome del servizio di autenticazione a due fattori. L'emittente è visualizzato nell'app mobile del cliente e identifica il servizio associato al codice di verifica generato. Per impostazione predefinita, è composto dal nome del server con lavoro remoto.

Two-factor Authentication-Advanced-Settings

Validità dopo la prima sessione

Periodo durante il quale un utente può aprire una sessione senza dover convalidare nuovamente un codice di autenticazione a due fattori precedente. Questa impostazione consente agli utenti di aprire applicazioni dal portale dell'applicazione Web successivamente. Il valore predefinito è 480 minuti.

Two-factor Authentication-Advanced-Settings

Validità prima della prima sessione

Periodo durante il quale un utente può aprire una sessione dopo aver convalidato un codice di autenticazione a due fattori dal portale Web o dall'app mobile, in secondi. Il valore predefinito è 3600 secondi.

Two-factor Authentication-Advanced-Settings

Cifre

Il numero di cifre da visualizzare all'utente. Si prega di notare che questa impostazione potrebbe non essere supportata dalle app di autenticazione. Questo numero deve essere maggiore o uguale a 4 e minore o uguale a 12. Il valore predefinito è 6.

Two-factor Authentication-Advanced-Settings

Messaggio del codice di verifica SMS

Messaggio inviato agli utenti che richiedono un codice di verifica se sono configurati per riceverlo via SMS. Questo messaggio deve contenere il segnaposto %CODE% che sarà sostituito dal codice di verifica effettivo. Il valore predefinito è: Il tuo codice di verifica %ISSUER% è: %CODE%

Two-factor Authentication-Advanced-Settings