Versions Compared

Old Version 14

changes.mady.by.user Радик Шарафиев

Saved on

compared with

New Version 15

changes.mady.by.user Радик Шарафиев

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Expand
titleОглавление
Table of Contents

...

Expand
titleВторой фактор авторизации

Второй фактор авторизации

Если первый этап авторизации (см. Авторизация пользователя) проходит успешно и активен чек-бокс “Включить двухфакторную аутентификацию по e-mail”, а пользователь относится к одной из ролей, выбранных в поле “Роли для включения второго фактора” (либо это поле не заполнено), происходит отправка рассылки Проверочный код для авторизации и push-уведомления Код авторизации, а форма ввода логина и пароля меняется на страницу со следующим содержанием

Image RemovedImage Added

Чтобы пройти второй фактор авторизации, можно:

  • Заполнить поле “Код“, который был отправлен в рассылке или пуш-уведомлении (если пользователь авторизован в мобильном приложении) и нажать на кнопку “Подтвердить“

  • Пройти по уникальной ссылке, которая была отправлена в рассылке

Срок действия проверочного кода и уникальной ссылки составляет 30 минут. Чтобы запросить код повторно, необходимо дождаться окончания отсчета таймера и нажать на кнопку “Отправить снова“. После трёх попыток отправить повторно код на почту открывается подсказка: “Возможно, что-то пошло не так. Проверьте папку “Спам“ или обратитесь {в поддержку}”, где {в поддержку} – ссылка для перехода к форме обратной связи.

Всего даётся 8 попыток ввести код. После финальной неудачной попытки ввода кода, открывается страница авторизации с таймером, а возможность авторизоваться блокируется на 10 минут

...

Expand
titleКакие стандарты защиты информации используются на платформе

Какие стандарты защиты информации используются на платформе

Хранение пользовательских паролей на платформе соответствует стандартам ФСТЭК.

Если включена и настроена авторизация с логином AD или сквозная авторизация – стандарты ФСТЭК не применяются. Вместо них используются стандарты безопасности, принятые поставщиками сервисов авторизации.

Info

Если отмечен чек-бокс “Авторизация по логину и паролю для пользователей с ролью «Администратор»” – хранение паролей администраторов соответствует стандартам ФСТЭК.

Что важно знать

  1. В базе данных хранятся хэши последних десяти паролей каждого пользователя.

  2. Хэши паролей хранятся до момента блокировки или удаления учётной записи, но не менее 1 года. 

  3. Для каждого пользователя хранится дата последнего изменения пароля.
    Дата изменяется вместе с любым изменением пароля данного пользователя.

  4. Платформа предусматривает, что текущий пароль пользователя действителен в течение 90 дней с даты последнего изменения пароля.

  5. На 90 день пользователю отправляется уведомление, предупреждающее его о том, что время действия пароля заканчивается.

Note

При автоматической генерации пароля: при сбросе пароля или при создании пользователя исключаются похожие символы – I и l или O и 0.

Expand
titleКак пользователь узнаёт о необходимости сменить пароль

Как пользователь узнаёт о необходимости сменить пароль

Когда наступает 90-й день с момента последнего изменения пароля пользователем, он получает уведомление, рассылку и push-уведомления в приложении с напоминанием.

Перед этим пользователь также получает уведомление, рассылку и push-уведомление. За шесть дней и два дня до истечения срока жизни пароля.

Expand
titleКак работает механика изменения пароля в публичной части

Как работает механика изменения пароля в публичной части

При первой авторизации пользователя система требует заменить пароль из пригласительного письма.

Поп-ап “Изменение пароля” всплывает на главной странице платформы сразу после входа и закрывается только после установки пользователем нового пароля.
Появление поп-апа блокирует функционал платформы, пока пароль не будет изменён.

Когда система требует сменить пароль

Если пользователь не авторизован

  1. При первой авторизации пользователя на платформу

  2. При первой авторизации пользователя после сброса его пароля администратором в административной части

  3. При первой авторизации пользователя после изменения его пароля администратором в режиме маскировки в ЛК

  4. При первой авторизации пользователя после восстановления пароля

  5. При первой авторизации пользователя после того, как с даты последнего изменения пароля данного пользователя прошло 91 дней

Если пользователь авторизован

  1. При переходе на любую страницу платформы после того, как с даты последнего изменения пароля данного пользователя прошло 91 дней

  2. При переходе на любую страницу платформы после сброса его пароля администратором в административной части

  3. При переходе на любую страницу платформы после изменения его пароля администратором в режиме маскировки в ЛК

Info

Если пользователь обновил пароль в приложении, при входе в веб-версию поп-ап “Изменение пароля“ не отображается.

Поп-ап “Изменение пароля“ никогда не всплывает у администратора в режиме маскировки.

Проверки заполнения полей

Требования к заполнению полей поп-апа такие же, как и для поля “Пароль” в форме авторизации.
Кнопка отправки формы становится активной, если поля заполнены.

Для успешной смены пароля введённые в обоих полях пароли должны совпадать.

Пароль не должен совпадать с одним из десяти последних сохранённых паролей.

Помните, что пароль не может начинаться и заканчиваться пробелом.

Expand
titleКак система подтверждает успешное изменение пароля

Как система подтверждает успешное изменение пароля

Если пароль изменён – пользователь видит поп-ап с подтверждением.

Expand
titleОписание уведомлений о смене пароля

Описание уведомлений о смене пароля

Событие

Получатель

Текст уведомления

Ссылки и переходы

Наступает 90 день с момента последнего изменения пароля пользователем

Пользователь с паролем, который действителен уже 90 день

«Время придумать новый пароль! Сегодня — последний день действия старого пароля. Поменять его можно в Личном кабинете.»

Личном кабинете” — ссылка на страницу редактирования ЛКпользователя

Наступает 88 день с момента последнего изменения пароля пользователем

Пользователь с паролем, который действителен уже 88 день

«Время придумать новый пароль! Через 2 дня последний день действия старого пароля. Поменять его можно в Личном кабинете.»

Наступает 84 день с момента последнего изменения пароля пользователем

Пользователь с паролем, который действителен уже 84 день

«Время придумать новый пароль! Через 6 дней последний день действия старого пароля. Поменять его можно в Личном кабинете.»

...

Информация о настройках системы

Expand
titleКак использовать запрет на изменение пароля

Как использовать запрет на изменение пароля

Администраторы могут запретить сброс и восстановление пароля. Одна из причин – Авторизация с логином AD.

Expand
titleЧто необходимо сделать перед использованием такого механизма авторизации

Что необходимо сделать перед использованием такого механизма авторизации

Перед использованием этого механизма авторизации необходимо:

Важно: отключение возможности изменения пароля работает на всём портале и затронет всех пользователей. Также сброс пароля будет невозможен в Административной части портала.

Expand
titleКакие данные пользователь будет использовать для входа на портал

Какие данные пользователь будет использовать для входа на портал

Для авторизации Пользователь вводит логин и пароль учетной записи AD.

...

titleКак настроить подключение

Как настроить подключение

Настройка подключения выполняется в разделе Параметры системы - Настройки LDAP.

...

Info

Все возникающие ошибки соединения попадают в лог ошибок.

Перед настройкой изучите требования к заполнению полей. Они описаны в таблице.

...

Поле

...

Описание

...

Чекбокс "Активировать авторизацию через AD\LDAP"

...

Включает/выключает возможность авторизации через AD.

По умолчанию выключен.

...

Хост

...

Имя домена или ip-адрес

...

Обязательное поле

...

До 127 символов

...

Переключатель для выбора шифрования.

...

Выбирает один из способов шифрования при соединении

...

"Без шифрования"

...

Выключает использование шифрования при соединении

...

"TLS"

...

Включает использование шифрования TSL при соединении

...

"SSL"

...

Включает использование шифрования SSL при соединении

...

Логин служебной учётной записи

...

Логин от учетной записи с необходимым доступом

...

Обязательное поле

...

До 36 символов

...

Пароль служебной учётной записи

...

Пароль от учетной записи с необходимым доступом

...

Обязательное поле

...

До 36 символов

...

Кнопка "Проверить соединение"

...

Проверяет соединение с AD (с данными логина и пароля служебной учётной записи, указанными в настройках подключения).

...

База поиска (DN)

...

Объект каталога, начиная с которого производится поиск

...

Обязательное поле

...

Атрибут для проверки авторизации

...

Атрибут для проверки авторизации

...

Обязательное поле

При включенном LDAP, авторизоваться могут:

  • пользователи AD по данным AD

  • пользователи LMS по данным LMS.

Note

Логин, пароль и соединение с LDAP проверяется только в момент авторизации.
Поэтому, если пользователь авторизуется с помощью логина AD, а во время сессии авторизация через AD будет отключена, то пользователь продолжит работу на портале.

Если пользователь был удалён из AD, данные для авторизации по обычному механизму необходимо актуализировать через импорт пользователей.
Если пользователь был полностью удалён, то в файле импорта для него необходимо указать дату увольнения или деактивировать вручную.

Expand
titleКак использовать запрет на изменение пароля

Как использовать запрет на изменение пароля

Администраторы могут запретить сброс и восстановление пароля. Одна из причин – Авторизация с логином AD.

Image Removed

Действие доступно в Административной панели - Параметры системы - Настройки системы.
В разделе расположен чек-бокс "Изменение пароля пользователя". По умолчанию он активен.

Для отключения деактивируйте чек-бокс и сохраните изменения.

Последствия отключения

  • В Публичной части:

    • Страница авторизации – исчезает активная ссылка "Забыли пароль?"

    • Личный кабинет – поля для изменения пароля на странице редактирования данных

  • В Административной части:

    • Страница редактирования данных о пользователе – исчезает чек-бокс "Сбросить пароль"

  • В Мобильном приложении:

    • Экран авторизации – исчезает кнопка "Забыли пароль?"

Expand
titleКак включить двухфакторную аутентификацию по e-mail

Как включить двухфакторную аутентификацию по e-mail

Действие доступно в Административной панели - Параметры системы - Настройки системы.

Настройка двухфакторной авторизации осуществляется с помощью чек-бокса “Включить двухфакторную аутентификацию по e-mail”

По умолчанию не активен. Если чек-бокс активен, включается дополнительный этап аутентификации с использованием кода или уникальной ссылки, отправляемых на почту пользователю

Чек-бокс недоступен для выбора, если активирована аутентификация через любой сервис OAuth (Azure, KeyCloak, OKTA)

Expand
titleНастройка ролей для включения второго фактора авторизации

Настройка ролей для включения второго фактора авторизации

Действие доступно в Административной панели - Параметры системы - Настройки системы в поле “Роли для включения второго фактора авторизации”

Поле необязательно для заполнения. Становится активным только при активации чек-бокса “Включить двухфакторную аутентификацию по e-mail“

Поле представлено в виде выпадающего списка, в котором доступен поиск и множественный выбор

Настройки доступа:

  • Если значения НЕ выбраны, то двухфакторная авторизация доступна всем пользователям портала

    • Если значения в полях выбраны, то двухфакторная авторизация будет доступна только тем ролям, которые указаны в полеImage Added

    Действие доступно в Административной панели - Параметры системы - Настройки системы.
    В разделе расположен чек-бокс "Изменение пароля пользователя". По умолчанию он активен.

    Для отключения деактивируйте чек-бокс и сохраните изменения.

    Последствия отключения

    • В Публичной части:

      • Страница авторизации – исчезает активная ссылка "Забыли пароль?"

      • Личный кабинет – поля для изменения пароля на странице редактирования данных

    • В Административной части:

      • Страница редактирования данных о пользователе – исчезает чек-бокс "Сбросить пароль"

    • В Мобильном приложении:

      • Экран авторизации – исчезает кнопка "Забыли пароль?"

    Expand
    titleКак включить двухфакторную аутентификацию по e-mail

    Как включить двухфакторную аутентификацию по e-mail

    Действие доступно в Административной панели - Параметры системы - Настройки системы.

    Настройка двухфакторной авторизации осуществляется с помощью чек-бокса “Включить двухфакторную аутентификацию по e-mail”

    По умолчанию не активен. Если чек-бокс активен, включается дополнительный этап аутентификации с использованием кода или уникальной ссылки, отправляемых на почту пользователю

    Чек-бокс недоступен для выбора, если активирована аутентификация через любой сервис OAuth (Azure, KeyCloak, OKTA)

    Expand
    titleНастройка ролей для включения второго фактора авторизации

    Настройка ролей для включения второго фактора авторизации

    Действие доступно в Административной панели - Параметры системы - Настройки системы в поле “Роли для включения второго фактора авторизации”

    Поле необязательно для заполнения. Становится активным только при активации чек-бокса “Включить двухфакторную аутентификацию по e-mail“

    Поле представлено в виде выпадающего списка, в котором доступен поиск и множественный выбор

    Настройки доступа:

    • Если значения НЕ выбраны, то двухфакторная авторизация доступна всем пользователям портала

    • Если значения в полях выбраны, то двухфакторная авторизация будет доступна только тем ролям, которые указаны в поле

    ...

    Как использовать авторизацию с логином AD

    Expand
    titleЧто необходимо сделать перед использованием такого механизма авторизации

    Что необходимо сделать перед использованием такого механизма авторизации

    Перед использованием этого механизма авторизации необходимо:

    Важно: отключение возможности изменения пароля работает на всём портале и затронет всех пользователей. Также сброс пароля будет невозможен в Административной части портала.

    Expand
    titleКакие данные пользователь будет использовать для входа на портал

    Какие данные пользователь будет использовать для входа на портал

    Для авторизации Пользователь вводит логин и пароль учетной записи AD.

    Expand
    titleКак настроить подключение

    Как настроить подключение

    Настройка подключения выполняется в разделе Параметры системы - Настройки LDAP.

    Image Added

    Info

    Все возникающие ошибки соединения попадают в лог ошибок.

    Перед настройкой изучите требования к заполнению полей. Они описаны в таблице.

    Поле

    Описание

    Чекбокс "Активировать авторизацию через AD\LDAP"

    Включает/выключает возможность авторизации через AD.

    По умолчанию выключен.

    Хост

    Имя домена или ip-адрес


    Обязательное поле


    До 127 символов

    Переключатель для выбора шифрования.

    Выбирает один из способов шифрования при соединении

    "Без шифрования"

    Выключает использование шифрования при соединении

    "TLS"

    Включает использование шифрования TSL при соединении

    "SSL"

    Включает использование шифрования SSL при соединении

    Логин служебной учётной записи

    Логин от учетной записи с необходимым доступом


    Обязательное поле


    До 36 символов

    Пароль служебной учётной записи

    Пароль от учетной записи с необходимым доступом


    Обязательное поле


    До 36 символов

    Кнопка "Проверить соединение"

    Проверяет соединение с AD (с данными логина и пароля служебной учётной записи, указанными в настройках подключения).

    База поиска (DN)

    Объект каталога, начиная с которого производится поиск


    Обязательное поле

    Атрибут для проверки авторизации

    Атрибут для проверки авторизации


    Обязательное поле

    При включенном LDAP, авторизоваться могут:

    • пользователи AD по данным AD

    • пользователи LMS по данным LMS.

    Note

    Логин, пароль и соединение с LDAP проверяется только в момент авторизации.
    Поэтому, если пользователь авторизуется с помощью логина AD, а во время сессии авторизация через AD будет отключена, то пользователь продолжит работу на портале.

    Если пользователь был удалён из AD, данные для авторизации по обычному механизму необходимо актуализировать через импорт пользователей.
    Если пользователь был полностью удалён, то в файле импорта для него необходимо указать дату увольнения или деактивировать вручную.

    Expand
    titleМогут ли администраторы авторизоваться по логину и паролю при включённой сквозной авторизации или авторизации через AD

    Могут ли администраторы авторизоваться по логину и паролю при включённой сквозной авторизации или авторизации через AD

    Да, могут. Для включения опции Авторизация по логину и паролю для пользователей с ролью “Администратор” необходимо иметь роль “Верховный администратор” и активировать соответствующий чек-бокс на странице “Настройки системы”. Раздел отображается только для пользователей с ролью “Верховный администратор”.

    Если вы не обладаете этой ролью, обратитесь в службу Поддержки: help@start2play.ru.

    Note

    Если чек-бокс активен, изменение и восстановление пароля невозможны, как и для всех остальных пользователей.

    Последствия отключения

    Для всех пользователей:

    • В Публичной части:

      • Страница авторизации – исчезает активная ссылка "Забыли пароль?"

      • Личный кабинет – поля для изменения пароля на странице редактирования данных

    • В Административной части:

      • Страница редактирования данных о пользователе – исчезает чек-бокс "Сбросить пароль"

    • В Мобильном приложении:

      • Экран авторизации – исчезает кнопка "Забыли пароль?"

    При активации чек-бокса “Авторизация по логину и пароль для пользователей с ролью “Администратор” последствия отключений не затрагивают пользователей с ролями “Администратор”, “Верховный администратор”.