Salta al contenuto

Autenticazione a due fattori

Panoramica

L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza e impedisce l'accesso alla sessione dei tuoi utenti anche se qualcuno conosce la loro password .

Una combinazione di due fattori diversi viene utilizzata per raggiungere un livello di sicurezza maggiore:

  1. qualcosa che conoscono, una password .
  2. qualcosa che hanno, un dispositivo - come uno smartphone - con un'app di autenticazione installata. .

Puoi utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:

Ogni volta che un utente accede alla sua sessione remota, avrà bisogno della sua password e di un codice di verifica disponibile dal suo telefono cellulare. Una volta configurata, l'app di autenticazione mostrerà un codice di verifica per consentirgli di accedere in qualsiasi momento. Funziona anche se il suo dispositivo è offline.

OPPURE puoi decidere di ricevere i codici di verifica tramite SMS In questo caso, dovrai creare un account gratuito su Twilio .

Requisiti

L'autenticazione a due fattori richiede TSplus Remote Access Web Mobile o Enterprise Edizioni.

L'autenticazione a due fattori è supportata da:

Questo modo di autenticazione non supporta l'accesso tramite il client standard di Microsoft Remote Desktop (mstsc.exe).

Per fornire una soluzione ancora più sicura, le connessioni RDP sono negate per gli utenti con 2FA abilitato.

Come prerequisito, il server TSplus e i dispositivi devono essere sincronizzati. Vedi il Sincronizzazione del tempo e Impostazioni sezioni per ulteriori informazioni sulla configurazione.

Attivazione della licenza dell'Add-On per l'autenticazione a due fattori

La funzione di Two-Factor Authentication può essere trovata nella scheda Add-On di AdminTool:

Activating-Two-Factor-Authentication 1 È disponibile come prova di 30 giorni per 10 utenti. Per attivare la tua licenza, copia il numero di serie che puoi trovare in fondo al riquadro Home:

Activating-Two-Factor-Authentication 2 Poi, connettiti al nostro Portale di Licenza e inserisci il tuo numero d'ordine, il tuo indirizzo e-mail, il numero di serie e seleziona "Two-Factor Authentication" nell'elenco a discesa qui sotto:

Activating-Two-Factor-Authentication 3 Riceverai il tuo file license.lic. Poi, vai al Licenza tab e fai clic sul pulsante "Attiva la tua licenza":

Activating-Two-Factor-Authentication 5 Activating-Two-Factor-Authentication 5 Activating-Two-Factor-Authentication 6 ### Abilita l'autenticazione a due fattori

Eseguire i seguenti passaggi per abilitare l'autenticazione a due fattori per il proprio server o deployment TSplus. Se il proprio deployment TSplus è configurato per utilizzare più server, eseguire questo compito sul server TSplus esposto come unico punto di accesso per gli utenti o che ha il ruolo di reverse proxy.

  1. Apri l'applicazione di amministrazione dell'autenticazione a due fattori. Lo stato dell'autenticazione a due fattori e lo stato della licenza sono visualizzati:

Two-factor Authentication Per impostazione predefinita, 2FA è abilitato per il gateway TSplus e i server di applicazioni autonomi.

Puoi abilitarlo solo per i server delle applicazioni TSplus, inserendo l'URL del server di autenticazione:

Two-factor Authentication Application Server Oppure disabilitalo:

Two-factor Authentication is disabled

Aggiungi utenti e gruppi

Una volta abilitata l'autenticazione a due fattori, puoi configurare gli utenti per l'autenticazione a due fattori.

  1. Dall'applicazione di amministrazione dell'autenticazione a due fattori, fai clic su il Gestire gli utenti tab.

Manage Users and Groups 2) Poi, fai clic su Aggiungi per selezionare utenti e/o gruppi di utenti. Il Seleziona Utenti o Gruppi si apre la scatola.

Add Users and Groups Aggiungi quanti più utenti e gruppi necessario e poi fai clic OK Gli utenti e i gruppi vengono aggiunti all'elenco e abilitati per l'autenticazione a due fattori.

Modifica utenti

Nella stessa scheda, puoi modificare il modo in cui gli utenti ricevono i codici di verifica selezionando un utente e facendo clic sul pulsante "Modifica":

Edit Users

L'utente riceve i codici di verifica sull'app di autenticazione per impostazione predefinita. Puoi scegliere che li riceva tramite SMS selezionando l'opzione e aggiungendo il numero di telefono dell'utente nel campo sottostante.

Rimuovi utenti e gruppi

Per rimuovere utenti o gruppi, seleziona l'utente o il gruppo e poi fai clic su Rimuovi Un messaggio di conferma viene visualizzato.

Remove Users and Groups Clicca L'utente o il gruppo viene rimosso dalla sua lista e non si connetterà più utilizzando l'autenticazione a due fattori.

Ripristina configurazione per gli utenti

In caso di perdita del dispositivo di autenticazione per un utente, o se l'utente ha bisogno di visualizzare nuovamente il codice QR segreto, è necessario ripristinare le impostazioni di autenticazione dell'utente.

  1. Dall'applicazione di amministrazione dell'autenticazione a due fattori, fai clic su il Gestire gli utenti tab.

  2. Seleziona uno o più utenti attivati e poi clicca su Ripristina Viene visualizzato un messaggio di conferma:

Reset Users 3) Fai clic Gli utenti selezionati riceveranno un nuovo codice QR al prossimo accesso e dovranno scansionarlo nell'app di autenticazione del loro dispositivo. Puoi anche modificare il numero di telefono dell'utente, in modo che possa ricevere un codice di verifica sul suo nuovo dispositivo.

Iscrivi utente per l'autenticazione a due fattori

Una volta che un utente è stato abilitato all'uso dell'autenticazione a due fattori, un messaggio di attivazione verrà visualizzato al suo prossimo accesso riuscito dal portale Web di TSplus.

Activate Two-factor Authentication Per completare i passaggi richiesti, hai due opzioni: generare codici tramite un'app di autenticazione, oppure far ricevere i codici all'utente tramite SMS.

Ricevi codici con un'applicazione Authenticator

L'utente deve installare un'app di autenticazione su un dispositivo portatile, come il proprio smartphone.

Puoi utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:

Si prega di utilizzare la documentazione di ciascuna app per ulteriori dettagli su come procedere per aggiungere il proprio account TSplus.

Configura SMS

Affinché l'utente possa ricevere i codici di verifica tramite SMS, è necessario prima abilitarlo. Clicca su il Configura SMS tab:

Configure SMS TSplus sfrutta Twilio per inviare codici di verifica tramite SMS. Twilio è una piattaforma cloud di terze parti, non affiliata a TSplus.

  1. Crea semplicemente un account gratuito su Twilio cliccando sul pulsante qui sotto “Inizia la tua prova gratuita con Twilio”:

Configure SMS 2) Sul tuo dashboard dell'account Twilio per attivare il tuo Numero di Prova:

Configure SMS

  1. Il passaggio successivo è necessario solo per le versioni di prova. Consente a Twilio di verificare il numero di telefono effettivo su cui verranno inviati gli SMS. Inserisci questo numero sotto il Menu "Numeri di telefono" - "ID chiamante verificati" tab :

Configure SMS 4) Potrai quindi inserire il tuo SID account, Token di autenticazione e Numero di prova come il numero di telefono su di esso Configura SMS tab di TSplus:

Configure SMS Configure SMS Poi, fai clic su Salva. Verrà visualizzato il seguente messaggio:

Configure SMS

Puoi gestire il tuo abbonamento Twilio su Gestisci l'abbonamento Twilio sezione, in fondo al Configura SMS Amministra il tuo account, visualizza lo stato del servizio o contatta il centro assistenza Twilio semplicemente cliccando sui pulsanti corrispondenti.

Accedi utilizzando l'autenticazione a due fattori

Una volta che un utente ha configurato il proprio account TSplus nella propria app di autenticazione, sarà in grado di connettersi utilizzando la propria password e il codice fornito dalla propria app di autenticazione o tramite SMS.

Dal portale web di TSplus Remote Access:

Login Using Two-factor Authentication From Web Portal Dal client generato da TSplus:

Login Using Two-factor Authentication From Generated Client ### Sincronizzazione del tempo

I server applicativi TSplus e i dispositivi client devono condividere lo stesso orario. Ciò significa che l'ora e la data del server devono essere sincronizzate con un server di ora. I dispositivi client devono anche avere la sincronizzazione dell'ora, indipendentemente dal fuso orario su cui sono configurati.

Se una richiesta di autenticazione proviene da un dispositivo la cui data e ora non sono sincronizzate, o se la data e l'ora del server non sono sincronizzate, questa richiesta potrebbe essere rifiutata.

La convalida delle informazioni tra il dispositivo e il server è relativa all'ora UTC. Impostazioni sezione, il parametro Discrepency viene utilizzato per gestire il periodo di validità del codice, in intervalli di 30 secondi.

Esempio di convalida o autenticazione valida:

  • il server è sincronizzato con un server di tempo, il fuso orario è UTC + 2, sono le 14:30
  • il dispositivo è sincronizzato con un server di tempo, il fuso orario è UTC + 1, sono le 13:30
  • il parametro Discrepency è configurato a 60, ovvero un periodo di validità del codice di 30 minuti
  • riferito all'ora UTC, l'ora del dispositivo e l'ora del server sono identiche.

Esempio di convalida o autenticazione non valida:

  • il server è sincronizzato con un server di tempo, il fuso orario è UTC + 2, sono le 14:30
  • il dispositivo non è sincronizzato con un server di tempo, il fuso orario è UTC-1, l'ora è impostata manualmente alle 13:30
  • il parametro Discrepency è configurato a 60, ovvero un periodo di validità del codice di 30 minuti
  • l'orario del server riferito all'ora UTC è 12:30 am
  • l'ora comunicata dal Dispositivo, riferita all'ora UTC, è 14:30
  • la differenza è di 120 minuti, il codice di convalida è quindi rifiutato.

Impostazioni

Two-factor Authentication-Settings La scheda Impostazioni consente di whitelist utenti, affinché possano connettersi utilizzando un client RDP, senza la necessità di inserire un codice di autenticazione a due fattori.

Clicca sul pulsante "Aggiungi" per aggiungere un utente e rimuovi un utente selezionandolo e cliccando sul pulsante "Rimuovi".

Two-factor Authentication-Settings

La scheda Avanzate consente di configurare le impostazioni dettagliate dell'autenticazione a due fattori.

Two-factor Authentication-Advanced-Settings

Discrepanza

Puoi modificare il valore di Discrepanza, che ti consente di impostare il tempo di validazione di un codice di verifica. Una discrepanza di 3 significa che lo stesso codice di verifica rimane valido 90 secondi prima e dopo il suo periodo di validità originale di 30 secondi. Il valore predefinito è 480, il che significa 480 x 30 secondi = 4 ore.

Two-factor Authentication-Advanced-Settings

Emittente

Una stringa che indica il nome del servizio di autenticazione a due fattori. L'emittente viene visualizzato nell'app mobile del cliente e identifica il servizio associato al codice di verifica generato. Per impostazione predefinita, è composto dal nome del server con TSplus.

Two-factor Authentication-Advanced-Settings

Validità dopo la prima sessione

Periodo durante il quale un utente può aprire una sessione senza dover convalidare nuovamente un codice di autenticazione a due fattori precedente. Questa impostazione consente agli utenti di aprire applicazioni dal portale dell'applicazione Web successivamente. Il valore predefinito è 480 minuti.

Two-factor Authentication-Advanced-Settings

Validità prima della prima sessione

Periodo durante il quale un utente può aprire una sessione dopo aver convalidato un codice di autenticazione a due fattori dal portale Web o dall'app mobile, in secondi. Il valore predefinito è 3600 secondi.

Two-factor Authentication-Advanced-Settings

Cifre

Il numero di cifre da visualizzare all'utente. Si prega di notare che questa impostazione potrebbe non essere supportata dalle app di autenticazione. Questo numero deve essere maggiore o uguale a 4 e minore o uguale a 12. Il valore predefinito è 6.

Two-factor Authentication-Advanced-Settings

Messaggio del codice di verifica SMS

Messaggio inviato agli utenti che richiedono un codice di verifica se sono configurati per riceverlo via SMS. Questo messaggio deve contenere il segnaposto %CODE% che sarà sostituito dal codice di verifica effettivo. Il valore predefinito è: Il tuo codice di verifica %ISSUER% è: %CODE%

Two-factor Authentication-Advanced-Settings