Многофакторная аутентификация
Что такое многофакторная аутентификация (MFA)?
Многофакторная аутентификация (MFA) — это мера безопасности, которая требует от пользователей подтверждения своей личности с помощью двух или более факторов аутентификации. Факторы могут быть чем-то, что пользователи знают, например, пароль, чем-то, что у них есть, например, телефон или токен безопасности, или чем-то, чем они являются, например, отпечаток пальца.
MFA помогает повысить безопасность вашего сайта Moodle, поскольку злоумышленникам сложнее взломать несколько факторов.
Управление многофакторной аутентификацией
В разделе «Администрирование» > «Плагины» > «Инструменты администрирования» > «Управление многофакторной аутентификацией» вы можете включить MFA, установив флажок «Плагин MFA включён».
Если вы настраиваете MFA для своего сайта впервые, мы рекомендуем ознакомиться с Рекомендациями и примерами настроек, чтобы упростить работу для ваших пользователей.
Веса и факторы
В разделе «Администрирование» > «Плагины» > «Инструменты администрирования» > «Управление многофакторной аутентификацией» вы можете увидеть список доступных факторов и выбрать те, которые составляют MFA для вашего сайта.
Эти факторы имеют весовые баллы, и пользователи должны набрать 100 баллов, чтобы иметь возможность войти в систему. Настраивая несколько факторов и корректируя их веса, вы можете создать сложные и гибкие правила для многофакторной аутентификации.
Например, вы можете иметь два фактора по 100 баллов каждый, если хотите предоставить пользователям разные методы аутентификации. Или вы можете иметь два фактора по 50 баллов каждый, что означает, что пользователи должны будут пройти оба фактора, чтобы иметь возможность войти в систему.
Во время процесса входа факторы, которые не требуют пользовательского ввода, такие как IP-адрес или роль пользователя, оцениваются первыми. Затем оставшиеся факторы оцениваются в порядке веса, начиная с самого высокого, пока либо совокупные баллы не достигнут порога входа (100), либо все факторы не будут проверены и вход будет отклонён.
Доступные факторы аутентификации
Стандартные факторы аутентификации
Это хорошо изве�стные обычные факторы аутентификации, используемые во многих продуктах и программах:
Электронная почта: этот фактор требует от пользователей ввода кода, полученного по электронной почте, во время процесса входа. Когда пользователь пытается войти в систему, система генерирует уникальный временный код и отправляет его на зарегистрированный адрес электронной почты пользователя. Затем пользователь должен ввести этот код вместе со своим паролем, чтобы успешно завершить процесс входа. Этот код имеет ограниченный срок действия, который вы можете настроить, гарантируя, что он не может быть использован для несанкционированного доступа.
Аутентификатор приложения: этот фактор использует мобильное приложение для генерации временного кода для аутентификации пользователя. Во время процесса входа Moodle предлагает пользователю ввести код, сгенерированный их приложением-аутентификатором, в дополнение к их паролю. Этот код периодически меняется, гарантируя, что его нельзя повторно использовать для несанкционированного доступа. Пользователи должны установить приложение на своё �мобильное устройство и настроить этот фактор самостоятельно.
Ключ безопасности: этот фактор использует физические аппаратные токены, такие как USB или NFC ключи безопасности, или физические биометрические данные, такие как отпечатки пальцев. Во время процесса входа пользователи должны физически использовать свой ключ безопасности на своём устройстве для подтверждения своей личности. Пользователи должны настроить этот фактор самостоятельно.
Диапазон IP: этот фактор использует IP-адрес пользователей для подтверждения их личности, обеспечивая повышенную безопасность при доступе из доверенной сети. Он не требует предварительной настройки от ваших пользователей, позволяя вам настроить полный доступ к входу в доверенной сети. Этот фактор не требует настройки вашими пользователями.
SMS Мобильный телефон: этот фактор требует наличия мобильного телефона, способного принимать SMS (текстовые) сообщения. Во время процесса входа Moodle генерирует уникальный одноразовый код и отправляет его на зарегистрированный номер мобильного телефона пользователя через SMS. Пользователь вводит этот код вместе со своим паролем, чтобы успешно завершить процесс входа. Пользователи должны настроить этот фактор самостоятельно. Узнайте больше из СМС-шлюзов.
Факторы фильтрации пользователей
Факторы фильтрации пользователей — это способ легко создать группы пользователей, которые будут или не будут обязаны использовать многофакторную аутентификацию (MFA).
Не администратор: этот фактор требует, чтобы только администраторы имели два или более факторов аутентификации, не затрагивая других пользователей. Он делает это, присваивая факторные баллы всем пользователям, которые не являются администратором.
Тип аутентификации: этот фактор позволяет определённым пользователям пропускать дополнительные шаги аутентификации на основе их типа аутентификации. Это может быть полезно в ситуациях, когда определённые типы аутентификации, такие как SAML через ADFS, уже обеспечивают высокий уровень безопасности, делая дополнительные проверки аутентификации ненужными.
Роль: этот фактор должен использоваться в сочетании с другими факторами, поскольку он позволяет вам указать, какие роли должны использовать другие факторы для аутентификации. Например, он позволяет вам потребовать, чтобы лица с повышенными привилегиями доступа, такие как менеджеры и администраторы, проходили более строгую процедуру аутентификации, в то время как другие неуказанные роли, такие как студенты, могут обойти MFA.
Когорта: этот фактор должен использоваться в сочетании с другими факторами, поскольку он позволяет вам указать, какие когорты должны использовать другие факторы для аутентификации.
Возможности пользователя: этот фактор аналогичен фактору «Роль» и также должен сочетаться с другими факторами, поскольку он позволяет вам указ�ать, какие пользователи должны использовать другие факторы для аутентификации. Он делает это, проверяя, есть ли у пользователей возможность «factor/capability:cannotpassfactor» на системном уровне. Пользователи, у которых нет возможности «factor/capability:cannotpassfactor», получат баллы за этот фактор и могут обойти MFA, а пользователи с этой возможностью должны будут использовать другой тип аутентификации.
Например: вы назначаете возможность «factor/capability:cannotpassfactor» всем менеджерам и также включаете фактор «Электронная почта». Когда менеджер входит в систему, он должен будет использовать фактор «Электронная почта». Но когда студент пытается войти, он не будет.
Поскольку у администраторов по умолчанию разрешены все возможности, включая «factor/capability:cannotpassfactor», существует дополнительная настройка, которая позволит администраторам получать баллы за этот фактор, несмотря на наличие возможности.
Другие факторы
Эти факторы обеспечивают дополнительную гибкость и контроль над процессом аутентификации.
Доверять этому устройству: этот фактор позволяет пользователям пометить устройство как доверенное во время входов MFA. Как только устройство обозначено как доверенное, пользователи могут обойти MFA на указанный период времени при входе в систему с этого устройства.
Чтобы эффективно реализовать эту функцию, присвойте этому фактору оценку в 100 баллов.
Льготный период: этот фактор необходим, когда вы включаете факторы, требующие предварительной настройки от пользователей, такие как приложение-аутентификатор или ключ безопасности. Он позволяет пользователям входить в систему без использования многофакторной аутентификации (MFA) в течение указанного периода времени, предоставляя буферный период для завершения настройки дополнительных факторов аутентификации. Если пользователь всё ещё находится в льготном периоде при переходе на первую страницу после входа, независимо от того, использовал ли он льготный режим в качестве фактора входа, уведомление сообщит им о оставшемся периоде льготного периода и потенциальной необходимости настроить дополнительные факторы, чтобы предотвратить блокировку учётной записи по истечении льготного периода.
Чтобы эффективно реализовать эту функцию, присвойте этому фактору оценку в 100 баллов. Чтобы получить баллы за этот фактор, в процессе входа не должно быть других факторов, требующих взаимодействия с пользователем. Поместите этот фактор в конец списка, чтобы сначала были рассмотрены все другие факторы.
Если льготный период закончится, и пользователи не настроили свои методы аутентификации, они не смогут войти на ваш сайт. Вы можете продлить льготный период, чтобы позволить им войти, или временно включить другие факторы, такие как диапазон IP или роль.
Нет других факторов: этот фактор позволяет людям входить в систему, если они не настроили никаких других факторов MFA. Например, если вы хотите предложить MFA своим пользователям, но не делать её обязательной, присвойте 100 баллов «нет других факторов», чтобы позволить тем, кто не хочет использовать MFA, войти на сайт. Как только для пользователя будет настроен другой фактор, он больше не будет получать баллы за этот фактор.
Настройки пользователя
Если вы включите факторы Приложение-аутентификатор и Ключ безопасности, вашим пользователям потребуется самостоятельно настроить многофакторную аутентификацию. Настройки аутентификации можно получить доступ через Меню пользователя > Настройки > Настройки многофакторной аутентификации. Там они смогут настроить и управлять своими приложениями-аутентификаторами или ключами безопасности, а также отозвать доступ к любым настроенным ими факторам.
Важно отметить, что пользователь не сможет отозвать фактор, не имея при этом хотя бы одного другого настроенного фактора. Это снизит шансы заблокировать пользователя без другого способа аутентификации.
Рекомендации и примеры настроек
При настройке MFA для вашего сайта важно убедиться, что вы делаете свой сайт более безопасным, но также создаёте хороший опыт для своих пользователей, включая уверенность в том, что они смогут войти, если будут следовать правильным шагам. Вот несколько рекомендаций, чтобы убедиться, что MFA упрощена для ваших пользователей:
- Убедитесь, что вы включили фактор **Ль