Авторизация пользователей


Может ли пользователь зарегистрироваться самостоятельно

Нет, сейчас это невозможно.

Зарегистрировать пользователя на портале может администратор.

Для этого есть два способа:

  1. Указать нового пользователя в файле импорта пользователей и загрузить файл на портал.

  2. Создать пользователя вручную в Административной части.

Кто может авторизоваться на портале

Авторизоваться на портале может только зарегистрированный активный пользователь, который ввёл правильные логин и пароль и выразил своё согласие на обработку и хранение персональных данных.

Если вы используете систему единого входа, пользователь должен авторизоваться в ней. Пользователь будет автоматически авторизован на портале.

Также возможен механизм авторизации по логину AD.

Как выглядит страница авторизации

По-разному.

Это зависит от ширины экрана устройства, на котором открыта страница. А ещё от того, загружены ли фон страницы и логотип в разделе Брендирование.

Если фон страницы и логотип не были загружены, на странице отображается базовая заглушка.

image-20240816-022731.png

Как выбрать язык интерфейса

Наведите на кнопку выбора локализации. В появившемся списке выберите нужное значение.

Как заполнить поле "Логин"

Заполнить поле нужно обязательно.

Авторизация доступна по паролю + полю, выбранному в поле Способ авторизации в админпанели Авторизация пользователей | Выпадающий список Способ авторизации

Заполнение поля зависит от установленного способа авторизации на платформе. Если авторизация по:

  • Логину или email, то:

    • Может содержать символы: a-z, 0-9, спецсимволы: - (дефис) и _ (нижнее подчёркивание)

    • Максимум символов: 32

    • При вводе email, то:

      • Соответствует маске *@*.*

      • Не содержит цифры в домене верхнего уровня

  • Логину, то:

    • Может содержать символы: a-z, 0-9, спецсимволы: - (дефис) и _ (нижнее подчёркивание)

    • Максимум символов: 32

  • Мобильному телефону, то ограничения по количеству цифр зависит от международной маски, но:

    • Минимум цифр: 10

    • Максимум цифр: 15

  • Email, то:

    • Соответствует маске *@*.*

    • Не содержит цифры в домене верхнего уровня

    • Максимум символов: 32

  • Уникальному идентификатору, то:

    • Может содержать символы: a-z, A-Z, а-я, А-Я, 0-9, спецсимволы

    • Максимум символов: 255

Если форма авторизации отправлена с неверно заполненным полем, то появится ошибка.

Как заполнить поле "Пароль"

Поле пароль тоже обязательно для заполнения.

Хороший пароль может состоять из следующих символов: заглавные и строчные буквы всех языков, цифры от 0 до 9, спецсимволы, пробелы (но не в начале и не в конце пароля)

Если форма авторизации отправлена с неверным паролем, пользователь увидит ошибку.

Для чего выбирать чек-бокс "Запомнить меня"

Если чек-бокс выбран, система продлит время сессии пользователя.

Для чего выбирать чек-бокс принятия условий политики обработки персональных данных и пользовательского соглашения

Выбирая этот чек-бокс пользователь

  • Выражает согласие на обработку и хранение персональных данных – по закону без этого согласия обрабатывать и хранить персональные данные пользователя мы не можем

  • Соглашается с правилами и условиями использования ресурса и контента

Текст соглашения пользователь может прочитать нажав на ссылку каждого документа:

  • По нажатию на текстовую ссылку левой кнопкой мыши, всплывает поп-ап с текстом документа

  • При открытии текстовой ссылки в новой вкладке, открывается отдельная страница с текстом документа

Второй фактор авторизации

Если первый этап авторизации (см. Авторизация пользователя) проходит успешно и активен чек-бокс “Включить двухфакторную аутентификацию по e-mail”, а пользователь относится к одной из ролей, выбранных в поле “Роли для включения второго фактора” (либо это поле не заполнено), происходит отправка рассылки Проверочный код для авторизации и push-уведомления Код авторизации, а форма ввода логина и пароля меняется на страницу со следующим содержанием

Чтобы пройти второй фактор авторизации, можно:

  • Заполнить поле “Код“, который был отправлен в рассылке или пуш-уведомлении (если пользователь авторизован в мобильном приложении) и нажать на кнопку “Подтвердить“

  • Пройти по уникальной ссылке, которая была отправлена в рассылке

Срок действия проверочного кода и уникальной ссылки составляет 30 минут. Чтобы запросить код повторно, необходимо дождаться окончания отсчета таймера и нажать на кнопку “Отправить снова“. После трёх попыток отправить повторно код на почту открывается подсказка: “Возможно, что-то пошло не так. Проверьте папку “Спам“ или обратитесь {в поддержку}”, где {в поддержку} – ссылка для перехода к форме обратной связи.

Всего даётся 8 попыток ввести код. После финальной неудачной попытки ввода кода, открывается страница авторизации с таймером, а возможность авторизоваться блокируется на 10 минут

Как восстановить пароль

Обратите внимание, ссылка «Восстановить пароль» не отображается при отключении возможности сброса пароля. Восстановление пароля может быть отключено в разделе Настройки — Oauth. Подробнее в Авторизация пользователей | Чек бокс "Изменение пароля пользователя"
Отключение сброса пароля используется при включенной авторизации по логину AD, чтобы пользователи не могли сбрасывать пароль самостоятельно.

Нажмите на ссылку «Восстановить пароль»:

  • Если на вашей площадке подключен телеграм-бот для восстановления пароля, то на открывшейся странице вы увидите два способа восстановления — по почте или через телеграм-бота. Выберите подходящий.

  • Если телеграм-бот не подключен на площадке, то при переходе по ссылке «Восстановить пароль» появится форма восстановления по почте.

Восстановление пароля с помощью почты:

  • Заполните единственное поле и отправьте форму.

  • Затем нужно перейти в почту, которая используется для авторизации и открыть письмо со ссылкой для восстановления пароля на платформе.

  • Перейдя по ссылке из письма, на странице установки нового пароля введите новый пароль, повторите его и отправьте форму.

    • Если ссылка стала недействительной (например, истёк срок её жизни), то вы перейдёте на страницу с подсказкой о том, что ссылка больше недействительна. Там же доступен запрос новой ссылки удобным для вас способом — по почте или через телеграм-бот

    • Блок подсказок с требованиями к новому паролю содержит пункты согласно выбранным настройкам пароля, которые заданы в админпанели (см. Авторизация пользователей | Как задать требования к содержанию пароля)

  • Если всё успешно, то вы увидите страницу авторизации, где вам нужно будет совершить вход на платформу уже с новым паролем.

Восстановление пароля через телеграм-бота:

Если вы не восстановили пароль через ссылку, а вспомнили его самостоятельно, то вы можете авторизоваться с вашими данными.

Что важно знать про восстановление пароля

Возможность изменения и сброса пароля может быть отключена. Подробнее в Авторизация пользователей | Чек бокс "Изменение пароля пользователя"

Восстановить забытый пароль или изменить существующий можно несколькими способами:

  1. Восстановление по запросу пользователя

    1. По почте:
      После перехода по ссылке «Восстановить пароль» на странице авторизации. Необходимо указать email, на который зарегистрирована учетная запись на портале. После запроса на восстановление пароля на почту пользователя отправляется письмо со ссылкой для восстановления пароля.

    2. Через телеграм-бот (если подключен к платформе):
      После перехода по ссылке «Восстановить пароль» на странице авторизации откроется страница выбора способа восстановления пароля — по почте или через телеграм-бот.
      Как восстановить пароль через телеграм-бот описано в Telegram Bot / Телеграм-бот | Как восстановить пароль через базовый телеграм бот?

  2. Изменение пароля в Личном кабинете, в режиме редактирования персональных данных.

  3. Смена пароля администратором портала. Функционал доступен в Административной части, на странице редактирования данных о пользователе.
    Для смены пароля необходимо ввести новый пароль в поле Пароль и сохранить изменения.
    Блок подсказок с требованиями к новому паролю содержит пункты согласно выбранным настройкам пароля, которые заданы в админпанели (см. Авторизация пользователей | Как задать требования к содержанию пароля)

Сброс пароля логируется. Информация доступна в административной части портала.
Обратите внимание, изменения пароля в ЛК самим пользователем не логируются.

Разлогин при смене/сбросе пароля

Разлогинивание сотрудника в браузерах и/или приложении происходит в следующих случаях:

  • Если пользователь сменил пароль самостоятельно:

    • В личном кабинете

    • В поп-апе Изменение пароля

  • Если пользователь воспользовался кнопкой “Забыли пароль?“ на странице авторизации

  • Если пользователю сменили пароль в ПА на странице редактирования пользователя

  • Если администратор поменял пароль в режиме редактирования персональных данных

В случае, если пользователь поменял пароль самостоятельно в конкретном браузере или приложении, разлогин происходит везде, за исключением текущего браузера или приложения.

В случае, если пользователю сменили пароль в ПА, пользователь сам сбросил пароль по кнопке “Забыли пароль?“ на странице авторизации или если администратор поменял пароль в режиме редактирования персональных данных, разлогин произойдет во всех браузерах и приложениях.

Как отправить форму обратной связи

Нажмите на ссылку “Напишите нам”, чтобы увидеть форму отправки обратной связи.

Заполните форму и нажмите кнопку “Отправить”.

Чтобы отправить обращение также необходимо принять условия политики обработки персональных данных и пользовательского соглашения

Чтобы выразить согласие пользователь должен активировать чек-бокс “Я принимаю условия Политики обработки персональных данных и Пользовательского соглашения

Можно ли установить мобильное приложение

Установить мобильное приложение нужно.

Это удобный способ использовать возможности портала в своём смартфоне.

Для перехода на страницу приложения в магазине нажмите на соответствующую кнопку внизу страница авторизации.

Можно ли авторизоваться в приложении, когда уже авторизован на портале

Да, конечно.


Изменение пароля и стандарты ФСТЭК

Какие стандарты защиты информации используются на платформе

Хранение пользовательских паролей на платформе соответствует стандартам ФСТЭК.

Если включена и настроена авторизация с логином AD или сквозная авторизация – стандарты ФСТЭК не применяются. Вместо них используются стандарты безопасности, принятые поставщиками сервисов авторизации.

Что важно знать
  1. В базе данных хранятся хэши последних десяти паролей каждого пользователя.

  2. Хэши паролей хранятся до момента блокировки или удаления учётной записи, но не менее 1 года. 

  3. Для каждого пользователя хранится дата последнего изменения пароля.
    Дата изменяется вместе с любым изменением пароля данного пользователя.

  4. Платформа предусматривает, что текущий пароль пользователя может быть действителен в течение 60 / 90 / 120 / 180 дней с даты последнего изменения пароля (в зависимости от настройки Периодичность смены пароля, подробнее см. Авторизация пользователей | Как задать периодичность смены пароля)

Как пользователь узнаёт о необходимости сменить пароль

За 7, 3 и 1 день до истечения срока действия пароля пользователю отправляется уведомление, рассылка и push-уведомление, предупреждающее его о том, что время действия пароля заканчивается.

Как работает механика изменения пароля в публичной части

При первой авторизации пользователя система требует заменить пароль из пригласительного письма.

Поп-ап “Изменение пароля” всплывает на главной странице платформы сразу после входа и закрывается только после установки пользователем нового пароля.
Появление поп-апа блокирует функционал платформы, пока пароль не будет изменён.

Когда система требует сменить пароль

Если пользователь не авторизован

Если пользователь авторизован

Поп-ап “Изменение пароля“ никогда не всплывает у администратора в режиме маскировки.

Проверки заполнения полей

Блок подсказок с требованиями к новому паролю содержит пункты согласно выбранным настройкам пароля, которые заданы в админпанели (см. Авторизация пользователей | Как задать требования к содержанию пароля)

По мере заполнения поля, когда требование будет соблюдено, напротив пункта будет выводиться галочка

Для успешной смены пароля введённые в обоих полях пароли должны совпадать.

Если в длине пароля присутствует ошибка, выведется соответствующая подсказка

Пароль не должен совпадать с одним из десяти последних сохранённых паролей.

Помните, что пароль не может начинаться и заканчиваться пробелом.

Как система подтверждает успешное изменение пароля

Если пароль изменён – пользователь видит поп-ап с подтверждением.

Описание уведомлений о смене пароля

Событие

Получатель

Текст уведомления

Ссылки и переходы

Событие

Получатель

Текст уведомления

Ссылки и переходы

Наступает 60 / 90 / 120 / 180 день с момента последнего изменения пароля пользователем (в зависимости от настройки Периодичность смены пароля, подробнее см. Авторизация пользователей | Как задать периодичность смены пароля)

Пользователь с паролем, который действителен уже 60 / 90 / 120 / 180 дней

«Время придумать новый пароль! Сегодня — последний день действия старого пароля. Поменять его можно в Личном кабинете.»

Личном кабинете” — ссылка на страницу редактирования ЛК пользователя

Наступает 58 / 88 / 118 / 178 день с момента последнего изменения пароля пользователем (в зависимости от настройки Периодичность смены пароля, подробнее см. Авторизация пользователей | Как задать периодичность смены пароля)

Пользователь с паролем, который действителен уже 58 / 88 / 118 / 178 дней

«Время придумать новый пароль! Через 2 дня последний день действия старого пароля. Поменять его можно в Личном кабинете.»

Наступает 54 / 84 / 114 / 174 день с момента последнего изменения пароля пользователем (в зависимости от настройки Периодичность смены пароля, подробнее см. Авторизация пользователей | Как задать периодичность смены пароля)

Пользователь с паролем, который действителен уже 54 / 84 / 114 / 174 дня

«Время придумать новый пароль! Через 6 дней последний день действия старого пароля. Поменять его можно в Личном кабинете.»


Информация о настройках системы

Где расположен раздел

Раздел: Настройки — Oauth | /admin/system/auth

Вкладка: Общие настройки

Как выглядит страница раздела

Как задать требования к содержанию пароля

Чтобы задать требования к содержанию пароля, необходимо воспользоваться следующими полями и чек-боксами:

  • Поле Минимальная длина пароля

    • Интервал возможного значения: ≥ 10 и ≤ 32

    • По умолчанию указано 10

  • Чек-бокс Минимум одна цифра

  • Чек-бокс Минимум одна заглавная буква

  • Чек-бокс Минимум одна строчная буква

  • Чек-бокс Минимум один спецсимвол (`~!@#$%^&*()_-+={}[]\|:;"\'<>,.?/)

Чек-бокс "Изменение пароля пользователя"

По умолчанию активен. Все пользователи портала могут изменить пароль как самостоятельно, так и с помощью администратора.

Последствия отключения чек-бокса “Изменение пароля пользователя”

Для всех пользователей:

  • В Публичной части:

    • Страница авторизации – исчезает активная ссылка "Забыли пароль?"

    • Личный кабинет – поля для изменения пароля на странице редактирования данных

  • В Административной части:

    • Страница редактирования данных о пользователе – скрывается поле Пароль

  • В Мобильном приложении:

    • Экран авторизации – исчезает кнопка "Забыли пароль?"

При активации чек-бокса “Авторизация по логину и пароль для пользователей с ролью “Администратор” последствия отключений не затрагивают пользователей с ролями “Администратор”, “Верховный администратор”.

Как задать периодичность смены пароля

Чтобы задать периодичность смены пароля через стандартный попап принудительной смены пароля, необходимо выбрать одно из значений в выпадающем списке Периодичность смены пароля:

  • Каждые 60 дней

  • Каждые 90 дней

  • Каждые 120 дней

  • Каждые 180 дней

Как включить двухфакторную аутентификацию по e-mail

Действие доступно в Административной панели Параметры системы - Авторизация на вкладке Общие настройки

Настройка двухфакторной авторизации осуществляется с помощью чек-бокса “Включить двухфакторную аутентификацию по e-mail”

По умолчанию не активен. Если чек-бокс активен, включается дополнительный этап аутентификации с использованием кода или уникальной ссылки, отправляемых на почту пользователю

Чек-бокс недоступен для выбора, если активирована аутентификация через любой сервис аутентификации.
Также чек-бокс становится пуст и недоступен для выбора, если поле Почта из конструктора полей необязательно для заполнения на платформе.

Настройка ролей для включения второго фактора авторизации

Действие доступно в Административной панели Параметры системы - Авторизация на вкладке Общие настройки в поле “Роли для включения второго фактора авторизации”

Поле необязательно для заполнения. Становится активным только при активации чек-бокса “Включить двухфакторную аутентификацию по e-mail“

Поле представлено в виде выпадающего списка, в котором доступен поиск и множественный выбор

Настройки доступа:

  • Если значения НЕ выбраны, то двухфакторная авторизация доступна всем пользователям портала

  • Если значения в полях выбраны, то двухфакторная авторизация будет доступна только тем ролям, которые указаны в поле

Чек-бокс “Авторизация по логину и паролю для пользователей с ролью «Администратор»”

По умолчанию не активен. Если чек-бокс активен, изменение и восстановление пароля невозможны, как и для всех пользователей.

Чек-бокс “Авторизация по логину и паролю для всех пользователей”

По умолчанию чек-бокс активен на платформах, где не активировано ни одного чек-бокса сервиса аутентификации.

В активном состоянии сотрудники могут авторизоваться, как через сервис аутентификации, так и с помощью учетных данных (логин, пароль) для входа на платформу

В неактивном состоянии при включённых интеграциях сотрудник не может авторизоваться под своими данными от платформы

Уникальный идентификатор

Поле предназначено для валидации пользователей. Выбранное значение определяет поле, по которому проводится валидация. По умолчанию в поле установлено значение “Почта“

Список содержит наименования следующих полей из конструктора полей:

  • Системные поля: Почта, Логин, Логин LDAP, Дополнительный телефон, Мобильный телефон — отображаются наименования только тех, которые в конструкторе полей помечены как используемые в импорте.

  • Пользовательские однострочные текстовые поля — отображаются наименования только тех, которые в конструкторе полей помечены как используемые в импорте.

Чек-бокс "Всегда обновлять данные пользователя с существующим идентификатором"

По умолчанию не активен.

При активации чек-бокса поведение системы изменяется.

В случае импорта пользователя с уникальным идентификатором, который уже сохранён на портале, данные по пользователю будут обновлены вне зависимости от статуса пользователя.

Если уникальный идентификатор, указанный в файле импорта, принадлежит удалённому сотруднику, в системе создаётся новый пользователь.

Выпадающий список Способ авторизации

Поле предназначено для выбора способа авторизации на платформе.

  • Логин или email — выбран по умолчанию

  • Логин — данные из системного поля

  • Мобильный телефон — данные из системного поля

  • Email — данные из системного поля

  • Уникальный идентификатор ([название УИ, выбранного на платформе]) — данный вариант не выводится, если Логин, Email или Мобильный телефон указаны в качестве УИ на платформе

После выбора нового способа авторизации при сохранении изменений на странице происходит проверка заполненности выбранного поля у всех пользователей на платформе. Выбранный способ авторизации сохранится только, если выбранное поле заполнено у всех пользователей платформы.

Вне зависимости от выбранного способа авторизации — пароль остаётся обязательным для входа на платформу.

Блок “Время сессии пользователя (в минутах)”

В полях можно задать настройки ограничения сессии пользователя.

Необязательное поле.

По умолчанию не заполнено.

Допустимые значения: целые положительные числа от 1 до 2147483647

Как сохранить изменения на странице

После внесения изменений нажмите кнопку “Сохранить”

При изменении поля “Уникальный идентификатор“ осуществляется проверка:

  • Если выбранное значение — наименование такого поля, для которого верно то, что на портале для разных записей значение этого поля повторяется, то на странице под полем появляется ошибка: “Выбранное поле нельзя сделать уникальным идентификатором: у нескольких пользователей указано одно и то же значение для данного поля“, и страница не сохраняется.

  • В остальных случаях происходит сохранение страницы

Отмена изменений

Для отмены внесённых изменений нажмите кнопку “Отменить”. Это сбросит все изменения на странице до ранее сохраненного варианта.


Как использовать авторизацию с логином AD

Что необходимо сделать перед использованием такого механизма авторизации

Перед использованием этого механизма авторизации необходимо:

Важно: отключение возможности изменения пароля работает на всём портале и затронет всех пользователей. Также сброс пароля будет невозможен в Административной части портала.

Какие данные пользователь будет использовать для входа на портал

Для авторизации Пользователь вводит логин и пароль учетной записи AD.

Как настроить подключение

Настройка подключения выполняется в разделе НастройкиLDAP / AD

Перед настройкой изучите требования к заполнению полей. Они описаны в таблице.

Поле

Описание

Поле

Описание

Чекбокс "Активировать авторизацию через AD\LDAP"

Включает/выключает возможность авторизации через AD.

По умолчанию выключен.

Хост

Имя домена или ip-адрес

 

Обязательное поле

 

До 127 символов

Переключатель для выбора шифрования.

Выбирает один из способов шифрования при соединении

"Без шифрования"

Выключает использование шифрования при соединении

"TLS"

Включает использование шифрования TSL при соединении

"SSL"

Включает использование шифрования SSL при соединении

Логин служебной учётной записи

Логин от учетной записи с необходимым доступом

 

Обязательное поле

 

До 36 символов

Пароль служебной учётной записи

Пароль от учетной записи с необходимым доступом

 

Обязательное поле

 

До 36 символов

Кнопка "Проверить соединение"

Проверяет соединение с AD (с данными логина и пароля служебной учётной записи, указанными в настройках подключения).

База поиска (DN)

Объект каталога, начиная с которого производится поиск

 

Обязательное поле

Атрибут для проверки авторизации

Атрибут для проверки авторизации

 

Обязательное поле

При включенном LDAP, авторизоваться могут:

  • пользователи AD по данным AD

  • пользователи LMS по данным LMS.

Если пользователь был удалён из AD, данные для авторизации по обычному механизму необходимо актуализировать через импорт пользователей.
Если пользователь был полностью удалён, то в файле импорта для него необходимо указать дату увольнения или деактивировать вручную.

Как использовать запрет на изменение пароля

Администраторы могут запретить сброс и восстановление пароля. Одна из причин – авторизация с логином AD.

Действие доступно в Административной панели Настройки → OAuth → вкладка Общие настройки

В разделе расположен чек-бокс "Изменение пароля пользователя". По умолчанию он активен.

Для отключения деактивируйте чек-бокс и сохраните изменения.

Последствия отключения

  • В Публичной части:

    • Страница авторизации – исчезает активная ссылка "Восстановить пароль?"

    • Личный кабинет – поля для изменения пароля на странице редактирования данных

  • В Административной части:

    • Страница редактирования данных о пользователе – исчезает поле "Пароль"

  • В Мобильном приложении:

    • Экран авторизации – исчезает кнопка "Восстановить пароль?"

Могут ли администраторы авторизоваться по логину и паролю при включённой сквозной авторизации или авторизации через AD

Да, могут. Для включения опции Авторизация по логину и паролю для пользователей с ролью “Администратор” необходимо иметь роль “Верховный администратор” и активировать соответствующий чек-бокс на странице Настройки → OAuth → вкладка Общие настройки

Если вы не обладаете этой ролью, обратитесь в службу Поддержки: help@start2play.ru.

Последствия отключения

Для всех пользователей:

  • В Публичной части:

    • Страница авторизации – исче