Autenticazione a due fattori
L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza e impedisce l'accesso alla sessione dei tuoi utenti anche se qualcuno conosce la loro password .
Una combinazione di due fattori diversi viene utilizzata per raggiungere un livello di sicurezza maggiore:
-
qualcosa che conoscono, una password .
-
qualcosa che hanno, un dispositivo - come uno smartphone - con un'app di autenticazione installata. .
Puoi utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:
Ogni volta che un utente accede alla sua sessione remota, avrà bisogno della sua password e di un codice di verifica disponibile dal suo telefono cellulare. Una volta configurata, l'app di autenticazione mostrerà un codice di verifica per consentirgli di accedere in qualsiasi momento. Funziona anche se il suo dispositivo è offline.
OPPURE puoi decidere di ricevere i codici di verifica tramite SMS In questo caso, dovrai creare un account gratuito su Twilio .
L'autenticazione a due fattori è disponibile con HTML5 e connessioni Remoteapp solo sul portale web di lavoro remoto , su lavoro remoto Edizioni Web Mobile e Enterprise Questo modo di autenticazione non supporta l'accesso tramite client di Desktop Remoto.
Per fornire una soluzione ancora più sicura, le connessioni RDP sono negate per gli utenti con 2FA abilitato.
Come prerequisito, il server di lavoro remoto e i dispositivi devono essere puntuali. Vedi il Sincronizzazione del tempo e Impostazioni sezioni per ulteriori informazioni sulla configurazione.
Attivazione della licenza dell'Add-On per l'autenticazione a due fattori
La funzione di Two-Factor Authentication può essere trovata nella scheda Add-On di AdminTool:
Per attivare la tua licenza, copia il numero di serie che puoi trovare in fondo alla tile Home:
Poi, connettiti al nostro Portale di Licenza e inserisci il tuo numero d'ordine, il tuo indirizzo e-mail, il numero di serie e seleziona "Two-Factor Authentication" nell'elenco a discesa qui sotto:
Riceverai il tuo file license.lic. Poi, vai al Licenza tab e fai clic sul pulsante "Attiva la tua licenza":
Abilita l'autenticazione a due fattori
Eseguire i seguenti passaggi per abilitare l'autenticazione a due fattori per il server o il deployment del lavoro remoto. Se il tuo deployment per il lavoro remoto è configurato per utilizzare più server, esegui questo compito sul server di lavoro remoto esposto come unico punto di accesso per gli utenti o che ha il ruolo di reverse proxy.
- Apri l'applicazione di amministrazione dell'autenticazione a due fattori. Lo stato dell'autenticazione a due fattori e lo stato della licenza sono visualizzati:
Per impostazione predefinita, 2FA è disabilitato.
Abilitalo:
Aggiungi utenti e gruppi
Una volta abilitata l'autenticazione a due fattori, puoi configurare gli utenti per l'autenticazione a due fattori.
- Dall'applicazione di amministrazione dell'autenticazione a due fattori, fai clic su il Gestire gli utenti tab.
- Poi, fai clic su Aggiungi per selezionare utenti e/o gruppi di utenti. Il Seleziona Utenti o Gruppi si apre la scatola.
- Aggiungi quanti più utenti e gruppi necessario e poi fai clic OK Gli utenti e i gruppi vengono aggiunti all'elenco e abilitati per l'autenticazione a due fattori.
Modifica utenti
Nella stessa scheda, puoi modificare il modo in cui gli utenti ricevono i codici di verifica selezionando un utente e facendo clic sul pulsante "Modifica":
L'utente riceve i codici di verifica sull'app di autenticazione per impostazione predefinita. Puoi scegliere che li riceva tramite SMS selezionando l'opzione e aggiungendo il numero di telefono dell'utente nel campo sottostante.
Rimuovi utenti e gruppi
Per rimuovere utenti o gruppi, seleziona l'utente o il gruppo e poi fai clic su Rimuovi Un messaggio di conferma viene visualizzato.
Clicca Sì L'utente o il gruppo viene rimosso dalla sua lista e non si connetterà più utilizzando l'autenticazione a due fattori.
Ripristina configurazione per gli utenti
In caso di perdita del dispositivo di autenticazione per un utente, o se l'utente ha bisogno di visualizzare nuovamente il codice QR segreto, è necessario ripristinare le impostazioni di autenticazione dell'utente.
-
Dall'applicazione di amministrazione dell'autenticazione a due fattori, fai clic su il Gestire gli utenti tab.
-
Seleziona uno o più utenti attivati e poi clicca su Ripristina Viene visualizzato un messaggio di conferma:
- Clicca Sì Gli utenti selezionati riceveranno un nuovo codice QR al prossimo accesso e dovranno scansionarlo nell'app di autenticazione del loro dispositivo.
Puoi anche modificare il numero di telefono dell'utente, in modo che possa ricevere un codice di verifica sul suo nuovo dispositivo.
Iscrivi utente per l'autenticazione a due fattori
Una volta che un utente è stato abilitato all'uso dell'autenticazione a due fattori, un messaggio di attivazione verrà visualizzato al suo prossimo accesso riuscito dal portale Web di lavoro remoto.
Per completare i passaggi richiesti, hai due opzioni: generare codici tramite un'app di autenticazione, oppure far ricevere i codici all'utente tramite SMS.
Ricevi codici con un'applicazione Authenticator
L'utente deve installare un'app di autenticazione su un dispositivo portatile, come il proprio smartphone.
Puoi utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:
Si prega di utilizzare la documentazione di ciascuna app per ulteriori dettagli su come procedere per aggiungere il proprio account di lavoro remoto.
Affinché l'utente possa ricevere i codici di verifica tramite SMS, è necessario prima abilitarlo. Clicca su il Configura SMS tab:
remote-work sfrutta Twilio per inviare codici di verifica tramite SMS. Twilio è una piattaforma cloud di terze parti, non affiliata a remote-work.
- Crea semplicemente un account gratuito su Twilio cliccando sul pulsante qui sotto “Inizia la tua prova gratuita con Twilio”:
- Sul tuo dashboard dell'account Twilio per attivare il tuo Numero di Prova:
- Il passaggio successivo è necessario solo per le versioni di prova. Consente a Twilio di verificare il numero di telefono effettivo su cui verranno inviati gli SMS.
Inserisci questo numero sotto il Menu "Numeri di telefono" - "ID chiamante verificati" tab :
- Potrai quindi inserire il tuo SID account, Token di autenticazione e Numero di prova come il numero di telefono su di esso Configura SMS scheda di lavoro remoto:
Poi, fai clic su Salva. Verrà visualizzato il seguente messaggio:
Puoi gestire il tuo abbonamento Twilio su Gestisci l'abbonamento Twilio sezione, in fondo al Configura SMS Amministra il tuo account, visualizza lo stato del servizio o contatta il centro assistenza Twilio semplicemente cliccando sui pulsanti corrispondenti.
Accedi utilizzando l'autenticazione a due fattori
Una volta che un utente ha configurato il proprio account di lavoro remoto nella propria app di autenticazione, sarà in grado di connettersi utilizzando la propria password e il codice fornito dalla propria app di autenticazione o tramite SMS.
TSplus Remote Work server e dispositivi devono essere sincronizzati. Ciò significa che l'ora e la data del server devono essere sincronizzate con un server di riferimento. I dispositivi devono anche avere la sincronizzazione dell'ora, indipendentemente dal fuso orario in cui sono configurati.
Se una richiesta di autenticazione proviene da un dispositivo la cui data e ora non sono sincronizzate, o se la data e l'ora del server non sono sincronizzate, questa richiesta potrebbe essere rifiutata.
La convalida delle informazioni tra il dispositivo e il server è relativa all'ora UTC.
In the Impostazioni sezione, il parametro Discrepency viene utilizzato per gestire il periodo di validità del codice, in intervalli di 30 secondi.
Esempio di convalida o autenticazione valida:
- il server è sincronizzato con un server di tempo, il fuso orario è UTC + 2, sono le 14:30
- il dispositivo è sincronizzato con un server di tempo, il fuso orario è UTC + 1, sono le 13:30
- il parametro Discrepency è configurato a 60, ovvero un periodo di validità del codice di 30 minuti
- riferito all'ora UTC, l'ora del dispositivo e l'ora del server sono identiche.
Esempio di convalida o autenticazione non valida:
- il server è sincronizzato con un server di tempo, il fuso orario è UTC + 2, sono le 14:30
- il dispositivo non è sincronizzato con un server di tempo, il fuso orario è UTC-1, l'ora è impostata manualmente alle 13:30
- il parametro Discrepency è configurato a 60, ovvero un periodo di validità del codice di 30 minuti
- l'orario del server riferito all'ora UTC è 12:30 am
- l'ora comunicata dal Dispositivo, riferita all'ora UTC, è 14:30
- la differenza è di 120 minuti, il codice di convalida è quindi rifiutato.
La scheda Impostazioni consente di whitelist utenti, affinché possano connettersi utilizzando un client RDP, senza la necessità di inserire un codice di autenticazione a due fattori.
Clicca sul pulsante "Aggiungi" per aggiungere un utente e rimuovi un utente selezionandolo e cliccando sul pulsante "Rimuovi".
La scheda Avanzate consente di configurare le impostazioni dettagliate dell'autenticazione a due fattori.
Discrepanza
Puoi modificare il valore di Discrepanza, che ti consente di impostare il tempo di validazione di un codice di verifica.
Una discrepanza di 3 significa che lo stesso codice di verifica rimane valido 90 secondi indietro e avanti rispetto al suo periodo di validità originale di 30 secondi. Il valore predefinito è 480, il che significa 480 x 30 secondi = 4 ore.
Emittente
Una stringa che indica il nome del servizio di autenticazione a due fattori. L'emittente è visualizzato nell'app mobile del cliente e identifica il servizio associato al codice di verifica generato. Per impostazione predefinita, è composto dal nome del server con lavoro remoto.
Validità dopo la prima sessione
Periodo durante il quale un utente può aprire una sessione senza dover convalidare nuovamente un codice di autenticazione a due fattori precedente. Questa impostazione consente agli utenti di aprire applicazioni dal portale dell'applicazione Web successivamente. Il valore predefinito è 480 minuti.
Validità prima della prima sessione
Periodo durante il quale un utente può aprire una sessione dopo aver convalidato un codice di autenticazione a due fattori dal portale Web o dall'app mobile, in secondi. Il valore predefinito è 3600 secondi.
Cifre
Il numero di cifre da visualizzare all'utente. Si prega di notare che questa impostazione potrebbe non essere supportata dalle app di autenticazione. Questo numero deve essere maggiore o uguale a 4 e minore o uguale a 12. Il valore predefinito è 6.
Messaggio del codice di verifica SMS
Messaggio inviato agli utenti che richiedono un codice di verifica se sono configurati per riceverlo via SMS. Questo messaggio deve contenere il segnaposto %CODE% che sarà sostituito dal codice di verifica effettivo. Il valore predefinito è: Il tuo codice di verifica %ISSUER% è: %CODE%
