Expand | ||
---|---|---|
| ||
|
...
Expand | ||
---|---|---|
| ||
Второй фактор авторизацииЕсли первый этап авторизации (см. Авторизация пользователя) проходит успешно и активен чек-бокс “Включить двухфакторную аутентификацию по e-mail”, а пользователь относится к одной из ролей, выбранных в поле “Роли для включения второго фактора” (либо это поле не заполнено), происходит отправка рассылки Проверочный код для авторизации и push-уведомления Код авторизации, а форма ввода логина и пароля меняется на страницу со следующим содержанием Чтобы пройти второй фактор авторизации, можно:
Срок действия проверочного кода и уникальной ссылки составляет 30 минут. Чтобы запросить код повторно, необходимо дождаться окончания отсчета таймера и нажать на кнопку “Отправить снова“. После трёх попыток отправить повторно код на почту открывается подсказка: “Возможно, что-то пошло не так. Проверьте папку “Спам“ или обратитесь {в поддержку}”, где {в поддержку} – ссылка для перехода к форме обратной связи. Всего даётся 8 попыток ввести код. После финальной неудачной попытки ввода кода, открывается страница авторизации с таймером, а возможность авторизоваться блокируется на 10 минут |
...
Expand | ||||
---|---|---|---|---|
| ||||
Какие стандарты защиты информации используются на платформеХранение пользовательских паролей на платформе соответствует стандартам ФСТЭК. Если включена и настроена авторизация с логином AD или сквозная авторизация – стандарты ФСТЭК не применяются. Вместо них используются стандарты безопасности, принятые поставщиками сервисов авторизации.
Что важно знать
|
Expand | ||
---|---|---|
| ||
Как пользователь узнаёт о необходимости сменить парольКогда наступает 90-й день с момента последнего изменения пароля пользователем, он получает уведомление, рассылку и push-уведомления в приложении с напоминанием. Перед этим пользователь также получает уведомление, рассылку и push-уведомление. За шесть дней и два дня до истечения срока жизни пароля. |
Expand | ||
---|---|---|
| ||
Как работает механика изменения пароля в публичной частиПри первой авторизации пользователя система требует заменить пароль из пригласительного письма. Поп-ап “Изменение пароля” всплывает на главной странице платформы сразу после входа и закрывается только после установки пользователем нового пароля. Когда система требует сменить парольЕсли пользователь не авторизован
Если пользователь авторизован
Поп-ап “Изменение пароля“ никогда не всплывает у администратора в режиме маскировки. Проверки заполнения полейТребования к заполнению полей поп-апа такие же, как и для поля “Пароль” в форме авторизации. Для успешной смены пароля введённые в обоих полях пароли должны совпадать. Пароль не должен совпадать с одним из десяти последних сохранённых паролей. Помните, что пароль не может начинаться и заканчиваться пробелом. |
Expand | ||
---|---|---|
| ||
Как система подтверждает успешное изменение пароляЕсли пароль изменён – пользователь видит поп-ап с подтверждением. |
Expand | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
Описание уведомлений о смене пароля
|
...
Информация о настройках системы
Expand | ||
---|---|---|
| ||
Как использовать запрет на изменение пароляАдминистраторы могут запретить сброс и восстановление пароля. Одна из причин – Авторизация с логином AD. |
Expand | ||
---|---|---|
| ||
Что необходимо сделать перед использованием такого механизма авторизацииПеред использованием этого механизма авторизации необходимо:
Важно: отключение возможности изменения пароля работает на всём портале и затронет всех пользователей. Также сброс пароля будет невозможен в Административной части портала. |
Expand | ||
---|---|---|
| ||
Какие данные пользователь будет использовать для входа на порталДля авторизации Пользователь вводит логин и пароль учетной записи AD. |
...
title | Как настроить подключение |
---|
Как настроить подключение
Настройка подключения выполняется в разделе Параметры системы - Настройки LDAP.
...
Info |
---|
Все возникающие ошибки соединения попадают в лог ошибок. |
Перед настройкой изучите требования к заполнению полей. Они описаны в таблице.
...
Поле
...
Описание
...
Чекбокс "Активировать авторизацию через AD\LDAP"
...
Включает/выключает возможность авторизации через AD.
По умолчанию выключен.
...
Хост
...
Имя домена или ip-адрес
...
Обязательное поле
...
До 127 символов
...
Переключатель для выбора шифрования.
...
Выбирает один из способов шифрования при соединении
...
"Без шифрования"
...
Выключает использование шифрования при соединении
...
"TLS"
...
Включает использование шифрования TSL при соединении
...
"SSL"
...
Включает использование шифрования SSL при соединении
...
Логин служебной учётной записи
...
Логин от учетной записи с необходимым доступом
...
Обязательное поле
...
До 36 символов
...
Пароль служебной учётной записи
...
Пароль от учетной записи с необходимым доступом
...
Обязательное поле
...
До 36 символов
...
Кнопка "Проверить соединение"
...
Проверяет соединение с AD (с данными логина и пароля служебной учётной записи, указанными в настройках подключения).
...
База поиска (DN)
...
Объект каталога, начиная с которого производится поиск
...
Обязательное поле
...
Атрибут для проверки авторизации
...
Атрибут для проверки авторизации
...
Обязательное поле
При включенном LDAP, авторизоваться могут:
пользователи AD по данным AD
пользователи LMS по данным LMS.
Note |
---|
Логин, пароль и соединение с LDAP проверяется только в момент авторизации. |
Если пользователь был удалён из AD, данные для авторизации по обычному механизму необходимо актуализировать через импорт пользователей.
Если пользователь был полностью удалён, то в файле импорта для него необходимо указать дату увольнения или деактивировать вручную.
Expand | ||
---|---|---|
| ||
Как использовать запрет на изменение пароляАдминистраторы могут запретить сброс и восстановление пароля. Одна из причин – Авторизация с логином AD. Действие доступно в Административной панели - Параметры системы - Настройки системы. Для отключения деактивируйте чек-бокс и сохраните изменения. Последствия отключения
|
Expand | ||
---|---|---|
| ||
Как включить двухфакторную аутентификацию по e-mailДействие доступно в Административной панели - Параметры системы - Настройки системы. Настройка двухфакторной авторизации осуществляется с помощью чек-бокса “Включить двухфакторную аутентификацию по e-mail” По умолчанию не активен. Если чек-бокс активен, включается дополнительный этап аутентификации с использованием кода или уникальной ссылки, отправляемых на почту пользователю Чек-бокс недоступен для выбора, если активирована аутентификация через любой сервис OAuth (Azure, KeyCloak, OKTA) |
Expand | ||
---|---|---|
| ||
Настройка ролей для включения второго фактора авторизацииДействие доступно в Административной панели - Параметры системы - Настройки системы в поле “Роли для включения второго фактора авторизации” Поле необязательно для заполнения. Становится активным только при активации чек-бокса “Включить двухфакторную аутентификацию по e-mail“ Поле представлено в виде выпадающего списка, в котором доступен поиск и множественный выбор Настройки доступа: Если значения НЕ выбраны, то двухфакторная авторизация доступна всем пользователям портала Действие доступно в Административной панели - Параметры системы - Настройки системы. Для отключения деактивируйте чек-бокс и сохраните изменения. Последствия отключения
|
Expand | ||
---|---|---|
| ||
Как включить двухфакторную аутентификацию по e-mailДействие доступно в Административной панели - Параметры системы - Настройки системы. Настройка двухфакторной авторизации осуществляется с помощью чек-бокса “Включить двухфакторную аутентификацию по e-mail” По умолчанию не активен. Если чек-бокс активен, включается дополнительный этап аутентификации с использованием кода или уникальной ссылки, отправляемых на почту пользователю Чек-бокс недоступен для выбора, если активирована аутентификация через любой сервис OAuth (Azure, KeyCloak, OKTA) |
Expand | ||
---|---|---|
| ||
Настройка ролей для включения второго фактора авторизацииДействие доступно в Административной панели - Параметры системы - Настройки системы в поле “Роли для включения второго фактора авторизации” Поле необязательно для заполнения. Становится активным только при активации чек-бокса “Включить двухфакторную аутентификацию по e-mail“ Поле представлено в виде выпадающего списка, в котором доступен поиск и множественный выбор Настройки доступа:
|
...
Как использовать авторизацию с логином AD
Expand | ||
---|---|---|
| ||
Что необходимо сделать перед использованием такого механизма авторизацииПеред использованием этого механизма авторизации необходимо:
Важно: отключение возможности изменения пароля работает на всём портале и затронет всех пользователей. Также сброс пароля будет невозможен в Административной части портала. |
Expand | ||
---|---|---|
| ||
Какие данные пользователь будет использовать для входа на порталДля авторизации Пользователь вводит логин и пароль учетной записи AD. |
Expand | ||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||
Как настроить подключениеНастройка подключения выполняется в разделе Параметры системы - Настройки LDAP.
Перед настройкой изучите требования к заполнению полей. Они описаны в таблице.
При включенном LDAP, авторизоваться могут:
Если пользователь был удалён из AD, данные для авторизации по обычному механизму необходимо актуализировать через импорт пользователей. |
Expand | ||
---|---|---|
| ||
Могут ли администраторы авторизоваться по логину и паролю при включённой сквозной авторизации или авторизации через ADДа, могут. Для включения опции Авторизация по логину и паролю для пользователей с ролью “Администратор” необходимо иметь роль “Верховный администратор” и активировать соответствующий чек-бокс на странице “Настройки системы”. Раздел отображается только для пользователей с ролью “Верховный администратор”. Если вы не обладаете этой ролью, обратитесь в службу Поддержки: help@start2play.ru.
Последствия отключения Для всех пользователей:
При активации чек-бокса “Авторизация по логину и пароль для пользователей с ролью “Администратор” последствия отключений не затрагивают пользователей с ролями “Администратор”, “Верховный администратор”. |