Autenticazione a due fattori
L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza e impedisce l'accesso alla sessione dei tuoi utenti anche se qualcuno conosce la loro password .
Una combinazione di due fattori diversi viene utilizzata per raggiungere un livello di sicurezza maggiore:
-
qualcosa che conoscono, una password .
-
qualcosa che hanno, un dispositivo - come uno smartphone - con un'app di autenticazione installata. .
Puoi utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:
Ogni volta che un utente accede alla sua sessione remota, avrà bisogno della sua password e di un codice di verifica disponibile dal suo telefono cellulare. Una volta configurata, l'app di autenticazione mostrerà un codice di verifica per consentirgli di accedere in qualsiasi momento. Funziona anche se il suo dispositivo è offline.
OPPURE puoi decidere di ricevere i codici di verifica tramite SMS In questo caso, dovrai creare un account gratuito su Twilio .
Il I codici 2FA generati sono TOTP (password usa una sola volta basata sul tempo), e quindi sono per uso singolo.
Pertanto, non è possibile riutilizzare un codice 2FA che è già stato utilizzato. Questo previene il furto e poi l'uso di un codice 2FA osservando l'utente mentre inserisce il proprio codice.
Requisiti
L'autenticazione a due fattori richiede TSplus Remote Access Web Mobile o Enterprise Edizioni.
L'autenticazione a due fattori è supportata da:
-
TSplus Remote Access Portale web , per connessioni HTML5 e Remoteapp
-
TSplus Connection Client, per i client generati dalla versione 15.30.3.15, con supporto 2FA esplicitamente abilitato. Vedi Supporto del Generatore di Clienti Portatili per l'Autenticazione a Due Fattori
-
2FA è correlato agli utenti di Windows e non alle credenziali web
Questo modo di autenticazione non supporta l'accesso tramite il client standard di Microsoft Remote Desktop (mstsc.exe).
Per fornire una soluzione ancora più sicura, le connessioni RDP sono negate per gli utenti con 2FA abilitato.
Come prerequisito, il server TSplus e i dispositivi devono essere sincronizzati. Vedi il Sincronizzazione del tempo e Impostazioni sezioni per ulteriori informazioni sulla configurazione.
Attivazione della licenza dell'Add-On per l'autenticazione a due fattori
La funzione di Two-Factor Authentication può essere trovata nella scheda Add-On di AdminTool:
Eseguire i seguenti passaggi per abilitare l'autenticazione a due fattori per il proprio server o deployment TSplus. Se il proprio deployment TSplus è configurato per utilizzare più server, eseguire questo compito sul server TSplus esposto come unico punto di accesso per gli utenti o che ha il ruolo di reverse proxy.
- Apri l'applicazione di amministrazione dell'autenticazione a due fattori. Lo stato dell'autenticazione a due fattori e lo stato della licenza sono visualizzati:
Per impostazione predefinita, 2FA è abilitato per il gateway TSplus e i server di applicazioni autonomi.
Puoi abilitarlo solo per i server delle applicazioni TSplus, inserendo l'URL del server di autenticazione:
Oppure disabilitalo:
Aggiungi utenti e gruppi
Una volta abilitata l'autenticazione a due fattori, puoi configurare gli utenti per l'autenticazione a due fattori.
-
Dall'applicazione di amministrazione dell'autenticazione a due fattori, fai clic su il Gestire gli utenti tab.
-
Poi, fai clic su Aggiungi per selezionare utenti e/o gruppi di utenti. Il Seleziona Utenti o Gruppi si apre la scatola.
- Aggiungi quanti più utenti e gruppi necessario e poi fai clic OK Gli utenti e i gruppi vengono aggiunti all'elenco e abilitati per l'autenticazione a due fattori.
Ecco i comandi per aggiungere utenti/gruppi
3 tipi di argomenti possibili:
solo il nome di dominio
TwoFactor.Admin.exe /addusers domainName1
- aggiunge l'utente con i valori predefiniti (metodo di ricezione = app, campi email e telefono non inseriti)
il nome di dominio e il metodo di ricezione
TwoFactor.Admin.exe /addusers domainName1;SMS
- aggiunge l'utente con il metodo di ricezione desiderato, ma non tenta di attivarlo
il domainName, il metodo di ricezione, il campo Telefono (anche se vuoto), il campo Email (anche se vuoto)
*TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606;
[email protected]
domainName2;Email;;
[email protected]
domainName3;SMS;+33606060607;domainName4
- Stessa comportamento come nell'HMI, quando aggiungiamo un utente, poi lo modifichiamo con le informazioni corrette: cerchiamo di attivare l'utente.
Come mostrato nell'ultimo esempio, possono essere indicati diversi utenti (separati da uno spazio). I diversi campi di un utente sono separati da un punto e virgola.
Per gruppi singoli:
TwoFactor.Admin.exe /addgroups gruppo1 gruppo2 gruppo3
Modifica utenti
Nella stessa scheda, puoi modificare il modo in cui gli utenti ricevono i codici di verifica selezionando un utente e facendo clic sul pulsante "Modifica":
L'utente riceve i codici di verifica sull'app di autenticazione per impostazione predefinita. Puoi scegliere che li riceva tramite SMS o EMAIL selezionando l'opzione.
Selezionato SMS e aggiunto il numero di telefono dell'utente nel campo o selezionato EMAIL e aggiunta l'email dell'utente.
Rimuovi utenti e gruppi
Per rimuovere utenti o gruppi, seleziona l'utente o il gruppo e poi fai clic su Rimuovi Un messaggio di conferma viene visualizzato.
Clicca Sì L'utente o il gruppo viene rimosso dalla sua lista e non si connetterà più utilizzando l'autenticazione a due fattori.
Ripristina configurazione per gli utenti
In caso di perdita del dispositivo di autenticazione per un utente, o se l'utente ha bisogno di visualizzare nuovamente il codice QR segreto, è necessario ripristinare le impostazioni di autenticazione dell'utente.
-
Dall'applicazione di amministrazione dell'autenticazione a due fattori, fai clic su il Gestire gli utenti tab.
-
Seleziona uno o più utenti attivati e poi clicca su Ripristina Viene visualizzato un messaggio di conferma:
- Clicca Sì Gli utenti selezionati riceveranno un nuovo codice QR al prossimo accesso e dovranno scansionarlo nell'app di autenticazione del loro dispositivo.
Puoi anche modificare il numero di telefono dell'utente, in modo che possa ricevere un codice di verifica sul suo nuovo dispositivo.
Iscrivi utente per l'autenticazione a due fattori
Una volta che un utente è stato abilitato all'uso dell'autenticazione a due fattori, un messaggio di attivazione verrà visualizzato al suo prossimo accesso riuscito dal portale Web di TSplus.
Per completare i passaggi richiesti, hai due opzioni: generare codici tramite un'app di autenticazione, oppure far ricevere i codici all'utente tramite SMS.
Ricevi codici con un'applicazione Authenticator
L'utente deve installare un'app di autenticazione su un dispositivo portatile, come il proprio smartphone.
Puoi utilizzare una delle seguenti app di autenticazione per procedere. Queste app sono disponibili su un'ampia gamma di piattaforme:
Si prega di utilizzare la documentazione di ciascuna app per ulteriori dettagli su come procedere per aggiungere il proprio account TSplus.
Configura SMS
Affinché l'utente possa ricevere i codici di verifica tramite SMS, è necessario prima abilitarlo. Clicca su il Configura SMS tab:
TSplus sfrutta Twilio per inviare codici di verifica tramite SMS. Twilio è una piattaforma cloud di terze parti, non affiliata a TSplus.
- Crea semplicemente un account gratuito su Twilio cliccando sul pulsante qui sotto “Inizia la tua prova gratuita con Twilio”:
- Sul tuo dashboard dell'account Twilio per attivare il tuo Numero di Prova:
- Il passaggio successivo è necessario solo per le versioni di prova. Consente a Twilio di verificare il numero di telefono effettivo su cui verranno inviati gli SMS.
Inserisci questo numero sotto il Menu "Numeri di telefono" - "ID chiamante verificati" tab :
- Potrai quindi inserire il tuo SID account, Token di autenticazione e Numero di prova come il numero di telefono su di esso Configura SMS tab di TSplus:
Poi, fai clic su Salva. Verrà visualizzato il seguente messaggio:
Puoi gestire il tuo abbonamento Twilio su Gestisci l'abbonamento Twilio sezione, in fondo al Configura SMS Amministra il tuo account, visualizza lo stato del servizio o contatta il centro assistenza Twilio semplicemente cliccando sui pulsanti corrispondenti.
Configura EMAIL
Per ricevere i codici di verifica via EMAIL, è necessario prima configurare la propria email SMTP.
Accedi utilizzando l'autenticazione a due fattori
Una volta che un utente ha configurato il proprio account TSplus nella propria app di autenticazione, sarà in grado di connettersi utilizzando la propria password e il codice fornito dalla propria app di autenticazione, tramite SMS o Email.
Dal portale web di TSplus Remote Access:
Dal client generato da TSplus:
I server applicativi TSplus e i dispositivi client devono condividere lo stesso orario. Ciò significa che l'ora e la data del server devono essere sincronizzate con un server di ora. I dispositivi client devono anche avere la sincronizzazione dell'ora, indipendentemente dal fuso orario su cui sono configurati.
Se una richiesta di autenticazione proviene da un dispositivo la cui data e ora non sono sincronizzate, o se la data e l'ora del server non sono sincronizzate, questa richiesta potrebbe essere rifiutata.
La convalida delle informazioni tra il dispositivo e il server è relativa all'ora UTC.
In the Impostazioni sezione, il parametro Discrepency viene utilizzato per gestire il periodo di validità del codice, in intervalli di 30 secondi.
Esempio di convalida o autenticazione valida:
- il server è sincronizzato con un server di tempo, il fuso orario è UTC + 2, sono le 14:30
- il dispositivo è sincronizzato con un server di tempo, il fuso orario è UTC + 1, sono le 13:30
- il parametro Discrepency è configurato a 60, ovvero un periodo di validità del codice di 30 minuti
- riferito all'ora UTC, l'ora del dispositivo e l'ora del server sono identiche.
Esempio di convalida o autenticazione non valida:
- il server è sincronizzato con un server di tempo, il fuso orario è UTC + 2, sono le 14:30
- il dispositivo non è sincronizzato con un server di tempo, il fuso orario è UTC-1, l'ora è impostata manualmente alle 13:30
- il parametro Discrepency è configurato a 60, ovvero un periodo di validità del codice di 30 minuti
- l'orario del server riferito all'ora UTC è 12:30 am
- l'ora comunicata dal Dispositivo, riferita all'ora UTC, è 14:30
- la differenza è di 120 minuti, il codice di convalida è quindi rifiutato.
Impostazioni
La scheda Impostazioni consente di whitelist utenti, affinché possano connettersi utilizzando un client RDP, senza la necessità di inserire un codice di autenticazione a due fattori.
Clicca sul pulsante "Aggiungi" per aggiungere un utente e rimuovi un utente selezionandolo e cliccando sul pulsante "Rimuovi".
La scheda Avanzate consente di configurare le impostazioni dettagliate dell'autenticazione a due fattori.
Discrepanza
Puoi modificare il valore di Discrepanza, che ti consente di impostare il tempo di validazione di un codice di verifica.
Una discrepanza di 3 significa che lo stesso codice di verifica rimane valido 90 secondi indietro e avanti rispetto al suo periodo di validità originale di 30 secondi. Il valore predefinito è 480, il che significa 480 x 30 secondi = 4 ore.
Emittente
Una stringa che indica il nome del servizio di autenticazione a due fattori. L'emittente viene visualizzato nell'app mobile del cliente e identifica il servizio associato al codice di verifica generato. Per impostazione predefinita, è composto dal nome del server con TSplus.
Validità dopo la prima sessione
Periodo durante il quale un utente può aprire una sessione senza dover convalidare nuovamente un codice di autenticazione a due fattori precedente. Questa impostazione consente agli utenti di aprire applicazioni dal portale dell'applicazione Web successivamente. Il valore predefinito è 480 minuti.
Validità prima della prima sessione
Periodo durante il quale un utente può aprire una sessione dopo aver convalidato un codice di autenticazione a due fattori dal portale Web o dall'app mobile, in secondi. Il valore predefinito è 3600 secondi.
Cifre
Il numero di cifre da visualizzare all'utente. Si prega di notare che questa impostazione potrebbe non essere supportata dalle app di autenticazione. Questo numero deve essere maggiore o uguale a 4 e minore o uguale a 12. Il valore predefinito è 6.
Messaggio del codice di verifica SMS
Messaggio inviato agli utenti che richiedono un codice di verifica se sono configurati per riceverlo via SMS. Questo messaggio deve contenere il segnaposto %CODE% che sarà sostituito dal codice di verifica effettivo. Il valore predefinito è: Il tuo codice di verifica %ISSUER% è: %CODE%
Periodo di sicurezza SMS
Il Periodo inizia quando un utente richiede un codice di autenticazione tramite SMS. Durante questo Periodo, l'utente può richiedere un nuovo codice di autenticazione tramite SMS fino a quando il numero di SMS richiesti non raggiunge il valore di Soglia (in ore, il valore predefinito è 24 ore).
Soglia di Sicurezza SMS
La soglia definisce il numero massimo di codici di autenticazione SMS che ogni utente può richiedere durante un periodo di tempo specificato (il valore predefinito è 6).