Autenticação de Dois Fatores
Tabela de conteúdos
- Visão geral
- Requisitos
- Ative sua licença
- Ativar autenticação de dois fatores
- Adicionar usuários e grupos
- Editar usuários
- Remover usuários e grupos
- Redefinir configuração para usuários
- Inscrever usuário para autenticação de dois fatores
- Receba códigos com um aplicativo autenticador
- Configurar SMS para receber códigos de autenticação
- Login usando autenticação de dois fatores
- Sincronização de tempo
- Configurações
Visão geral
A autenticação de dois fatores adiciona uma camada extra de segurança e impede o acesso à sessão dos seus usuários, mesmo que alguém conheça a senha deles .
Uma combinação de dois fatores diferentes é usada para alcançar um nível maior de segurança:
- algo que eles conhecem, uma senha .
- algo que eles têm, um dispositivo - como um smartphone - com um aplicativo de autenticação instalado. .
Você pode usar um dos seguintes aplicativos autenticadores para prosseguir. Esses aplicativos estão disponíveis em uma ampla variedade de plataformas:
Cada vez que um usuário faz login em sua sessão remota, precisará de sua senha e de um código de verificação disponível em seu telefone celular. Uma vez configurado, o aplicativo autenticador exibirá um código de verificação para permitir que ele ou ela faça login a qualquer momento. Funciona mesmo que seu dispositivo esteja offline.
OU você pode decidir receber códigos de verificação por SMS . Neste caso, você terá que criar uma conta gratuita em Twilio .
Requisitos
A autenticação de dois fatores requer TSplus Remote Access Web Móvel ou Enterprise Edições.
A autenticação de dois fatores é suportada por:
- TSplus Remote Access Portal da web , para conexões HTML5 e Remoteapp
- TSplus Connection Client, para clientes gerados desde a versão 15.30.3.15, com suporte a 2FA explicitamente habilitado. Veja Suporte do Gerador de Cliente Portátil para Autenticação de Dois Fatores
- 2FA está relacionado a usuários do Windows e não a credenciais da Web
Este modo de autenticação não suporta login através do cliente padrão de Área de Trabalho Remota da Microsoft (mstsc.exe).
Para fornecer uma solução ainda mais segura, as conexões RDP são negadas para usuários com 2FA ativado.
Como pré-requisito, o servidor TSplus e os dispositivos devem estar no horário. Veja o Sincronização de Tempo e Configurações seções para mais informações de configuração.
Ativando a licença do Add-On de Autenticação de Dois Fatores
A funcionalidade de Autenticação de Dois Fatores pode ser encontrada na aba de Add-On do AdminTool:
Está disponível como um teste de 30 dias para 10 usuários. Para ativar sua licença, copie o número de série que você pode encontrar na parte inferior do bloco Início:
Em seguida, conecte-se ao nosso
Portal de Licenciamento
e insira seu Número do Pedido, seu endereço de e-mail, Número de Série e selecione “Two-Factor Authentication” na lista suspensa abaixo:
Você receberá seu arquivo license.lic. Em seguida, vá para o
Licença
clique na opção "Ativar sua licença":
###
Ativar a autenticação de dois fatores
Realize os seguintes passos para habilitar a autenticação de dois fatores para o seu servidor ou implantação TSplus. Se a sua implantação TSplus estiver configurada para usar vários servidores, execute esta tarefa no servidor TSplus exposto como o único ponto de entrada para os usuários ou que tenha o papel de proxy reverso.
- Abra o aplicativo de administração de autenticação de dois fatores. O status da autenticação de dois fatores e o status da licença são exibidos:
Por padrão, 2FA está habilitado para o gateway TSplus e servidores de aplicativos autônomos.
Você pode ativá-lo apenas para servidores de aplicativos TSplus, inserindo a URL do servidor de autenticação:
Ou desative-o:
###
Adicionar Usuários e Grupos
Uma vez que a autenticação de dois fatores está ativada, você pode configurar usuários para autenticação de dois fatores.
- A partir do aplicativo de administração de autenticação de dois fatores, clique em o Gerenciar Usuários abaixo.
2) Em seguida, clique em
Adicionar
para selecionar usuários e/ou grupos de usuários. O
Selecionar Usuários ou Grupos
caixa se abre.
Adicione quantos usuários e grupos forem necessários e clique em seguida
OK
Os usuários e grupos são adicionados à lista e habilitados para autenticação de dois fatores.
Editar Usuários
Na mesma guia, você pode editar a forma como os usuários recebem os códigos de verificação selecionando um usuário e clicando no botão “Editar”:
O usuário recebe códigos de verificação no aplicativo de autenticação por padrão. Você pode escolher que ele/ela os receba por SMS selecionando a opção e adicionando o número de telefone do usuário no campo abaixo.
Remover Usuários e Grupos
Para remover usuários ou grupos, selecione o usuário ou o grupo e clique em Remover Uma mensagem de confirmação é exibida.
Clique
Sim
O usuário ou o grupo é removido de sua lista e não se conectará mais usando autenticação de dois fatores.
Redefinir Configuração para Usuários
No caso de perda do dispositivo de autenticação de um usuário, ou se o usuário precisar exibir o código QR secreto novamente, você deve redefinir as configurações de autenticação do usuário.
-
A partir do aplicativo de administração de autenticação de dois fatores, clique em o Gerenciar Usuários abaixo.
-
Selecione um ou mais usuários ativados e clique em seguida em Redefinir Uma mensagem de confirmação é exibida:
3) Clique
Sim
Os usuários selecionados receberão um novo código QR no próximo login e terão que escaneá-lo no aplicativo de autenticação de seu dispositivo. Você também pode modificar o número de telefone do usuário, para que ele possa receber um código de verificação em seu novo dispositivo.
Inscrever usuário para autenticação de dois fatores
Uma vez que um usuário tenha sido habilitado para usar a autenticação de dois fatores, uma mensagem de ativação será exibida em seu próximo login bem-sucedido a partir do portal Web TSplus.
Para completar os passos necessários, você tem duas opções: gerar códigos através de um aplicativo autenticador ou fazer com que o usuário receba códigos por SMS.
Receber códigos com um Aplicativo Autenticador
O usuário deve instalar um aplicativo autenticador em um dispositivo portátil, como seu smartphone.
Você pode usar um dos seguintes aplicativos autenticadores para prosseguir. Esses aplicativos estão disponíveis em uma ampla variedade de plataformas:
Por favor, consulte a documentação de cada aplicativo para mais detalhes sobre como proceder para adicionar sua conta TSplus.
Configurar SMS
Para que o usuário receba códigos de verificação por SMS, você deve primeiro ativá-lo. Clique em o Configurar SMS abaixo:
TSplus utiliza o Twilio para enviar códigos de verificação por SMS. Twilio é uma plataforma de nuvem de terceiros, não afiliada ao TSplus.
- Crie uma conta gratuita em Twilio clicando no botão abaixo “Comece seu teste gratuito com Twilio”:
2) Em seu
Painel de conta Twilio
você precisará ativar seu Número de Teste:
- O próximo passo é necessário apenas para versões de teste. Ele permite que o Twilio verifique o número de telefone real para o qual o SMS será enviado. Insira este número embaixo do Menu "Números de Telefone" - "IDs de Chamadas Verificadas" abaixo :
4) Você poderá então inserir seu SID de conta, Token de Autenticação e
Número de teste
como o número de telefone no
Configurar SMS
aba do TSplus:
Em seguida, clique em Salvar. A seguinte mensagem será exibida:
Você pode gerenciar sua assinatura do Twilio no Gerenciar assinatura do Twilio seção, na parte inferior do Configurar SMS Administre sua conta, veja o Status do Serviço ou entre em contato com o Centro de Suporte da Twilio apenas clicando nos botões correspondentes.
Login usando Autenticação de Dois Fatores
Uma vez que um usuário tenha configurado sua conta TSplus em seu aplicativo autenticador, ele ou ela poderá se conectar usando sua senha e o código fornecido pelo seu aplicativo autenticador ou por SMS.
Do portal da Web do TSplus Remote Access:
De cliente gerado pelo TSplus:
Os servidores de aplicativos TSplus e os dispositivos clientes devem compartilhar o mesmo horário. Isso significa que a hora e a data do servidor devem estar sincronizadas com um servidor de horário. Os dispositivos clientes também devem ter sincronização de horário, independentemente do fuso horário em que estão configurados.
Se um pedido de autenticação vier de um dispositivo cuja data e hora não estão sincronizadas, ou se a data e hora do servidor não estiverem sincronizadas, esse pedido pode ser rejeitado.
A validação das informações entre o dispositivo e o servidor está relacionada ao horário UTC. Configurações seção, o parâmetro Discrepency é usado para gerenciar o período de validade do código, em intervalos de 30 segundos.
Exemplo de validação ou autenticação válida:
- o servidor está sincronizado com um servidor de horário, o fuso horário é UTC + 2, são 14:30
- o dispositivo está sincronizado com um servidor de horário, o fuso horário é UTC + 1, são 13:30
- o parâmetro de Discrepância está configurado em 60, ou seja, um período de validade do código de 30 minutos
- referido ao horário UTC, o horário do dispositivo e o horário do servidor são idênticos.
Exemplo de validação ou autenticação inválida:
- o servidor está sincronizado com um servidor de horário, o fuso horário é UTC + 2, são 14:30
- o dispositivo não está sincronizado com um servidor de horário, o fuso horário é UTC-1, a hora está definida manualmente para 13:30
- o parâmetro de Discrepância está configurado em 60, ou seja, um período de validade do código de 30 minutos
- o horário do servidor referido ao horário UTC é 12:30 am
- o horário comunicado pelo Dispositivo, referido ao horário UTC, é 14:30
- a diferença é de 120 minutos, o código de validação é, portanto, recusado.
Configurações
A guia Configurações permite que você
whitelist usuários, para que possam se conectar usando um cliente RDP, sem a necessidade de inserir um código de autenticação de dois fatores.
Clique no botão "Adicionar" para adicionar um usuário e remova um usuário selecionando-o e clicando no botão "Remover".
A guia Avançado permite que você configure as configurações detalhadas da Autenticação de Dois Fatores.
Discrepância
Você pode modificar o valor de Discrepância, que permite definir o tempo de validação de um código de verificação. Uma discrepância de 3 significa que o mesmo código de verificação permanece válido por 90 segundos para trás e para frente em relação ao seu período de validade original de 30 segundos. O padrão é 480, o que significa 480 x 30 segundos = 4 horas.
Emissor
Uma string indicando o nome do serviço de autenticação de dois fatores. O emissor é exibido no aplicativo móvel do cliente e identifica o serviço associado ao código de verificação gerado. Por padrão, é composto pelo nome do servidor com TSplus.
Validade Após a Primeira Sessão
Período durante o qual um usuário pode abrir uma sessão sem precisar revalidar um código de autenticação de dois fatores anterior. Esta configuração permite que os usuários abram aplicativos a partir do portal da aplicação Web sucessivamente. O padrão é 480 minutos.
Validade Antes da Primeira Sessão
Período durante o qual um usuário pode abrir uma sessão após validar um código de autenticação de dois fatores a partir do portal da Web ou do aplicativo móvel, em segundos. O padrão é 3600 segundos.
Dígitos
O número de dígitos a serem exibidos para o usuário. Observe que esta configuração pode não ser suportada por aplicativos de autenticação. Este número deve ser maior ou igual a 4 e menor ou igual a 12. O padrão é 6.
Mensagem do Código de Verificação por SMS
Mensagem enviada aos usuários solicitando um código de verificação se estiverem configurados para recebê-lo via SMS. Esta mensagem deve conter o espaço reservado %CODE%, que será substituído pelo código de verificação real. O padrão é: Seu código de verificação %ISSUER% é: %CODE%