Przejdź do treści
Polski
Zaloguj się
Kontakt z nami
  • Brak sugerowanych wyników, ponieważ pole wyszukiwania jest puste.

Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe w Syteca On-Premises

Uwierzytelnianie dwuskładnikowe (2FA) umożliwia zwiększenie ochrony krytycznych punktów końcowych w Twojej sieci.

Funkcja ta w Syteca jest dostępna dla komputerów agentów monitorowania z systemem Windows (lokalnym i Active Directory) oraz Linux i obsługuje aplikacje Google Authenticator oraz Microsoft Authenticator (oraz inne aplikacje uwierzytelniające firm trzecich), które można zainstalować na urządzeniu mobilnym lub komputerze.

Aby wymusić logowanie użytkowników punktów końcowych do komputerów agentów monitorowania z użyciem 2FA, należy najpierw skonfigurować tę funkcję dla

  • [Wymagane tylko dla użytkowników komputerów agentów monitorowania z systemem Linux:] Użytkowników (poprzez dodanie każdego z nich ręcznie przyciskiem Dodaj na zakładce „Uwierzytelnianie dwuskładnikowe” na stronie „Żądania dostępu”).

Uwaga: Użytkownicy komputerów agentów monitorowania z systemem Windows również muszą być dodani ręcznie tylko w (mało prawdopodobnym) przypadku, gdy funkcja masowego 2FA jest wyłączona (tj. zaznaczono opcję „Nie generuj kodu QR automatycznie” na zakładce „Opcje uwierzytelniania” podczas edycji agenta lub grupy agentów).

  • [Wymagane zarówno dla komputerów agentów monitorowania z systemem Windows, jak i Linux:] Komputerów agentów monitorowania (poprzez zaznaczenie opcji „Włącz uwierzytelnianie dwuskładnikowe” podczas edycji agenta lub grupy agentów na stronie „Agenci”).

Uwaga: Dodatkowa funkcja masowego 2FA umożliwia obecnie automatyczną konfigurację 2FA dla wszystkich użytkowników danego komputera agenta monitorowania z systemem Windows (lub wszystkich takich komputerów w grupie agentów), ale nadal nie jest obsługiwana dla systemu Linux. Oznacza to, że po włączeniu 2FA dla agentów Windows użytkownicy Windows są automatycznie dodawani do siatki na zakładce „Uwierzytelnianie dwuskładnikowe” na stronie „Żądania dostępu” (tj. przez siebie samych przy następnym logowaniu, gdy zeskanują wyświetlony kod QR), i nie muszą być już dodawani ręcznie.

Aby skonfigurować 2FA, wykonaj kroki opisane poniżej.

1. Ręczna konfiguracja 2FA dla użytkowników

[Wymagane tylko dla użytkowników komputerów agentów monitorowania z systemem Linux:] 2FA musi być skonfigurowane ręcznie dla każdego użytkownika (lub grupy użytkowników) indywidualnie (poprzez dodanie ich na stronie „Żądania dostępu”).

Uwaga: Ten krok jest również wymagany dla użytkowników komputerów agentów monitorowania z systemem Windows tylko w (mało prawdopodobnym) przypadku, gdy funkcja masowego 2FA jest wyłączona (tj. zaznaczono opcję „Nie generuj kodu QR automatycznie” na zakładce „Opcje uwierzytelniania” podczas edycji agenta lub grupy agentów), ponieważ w przeciwnym razie użytkownicy Windows zostaną skonfigurowani automatycznie po zeskanowaniu kodu QR, który zostanie wyświetlony przy ich pierwszym logowaniu po włączeniu 2FA dla ich komputera agenta monitorowania (patrz niżej).

Aby ręcznie skonfigurować uwierzytelnianie dwuskładnikowe dla użytkownika Linux (lub, jeśli wymagane, Windows), wykonaj następujące kroki:

  • Zaloguj się do Konsoli Zarządzania jako użytkownik z uprawnieniem administracyjnym „Zarządzanie użytkownikami”.

  • Otwórz stronę „Żądania dostępu”, przejdź na zakładkę „Uwierzytelnianie dwuskładnikowe” i kliknij przycisk Dodaj (w prawym górnym rogu strony).

image2023-11-21_16-22-1

  • W wyświetlonym oknie „Dodaj użytkownika” wybierz i skonfiguruj jedną z następujących opcji:

    • Użytkownik Active Directory: wybierz tę opcję dla użytkownika domenowego (i wybierz domenę oraz nazwę logowania użytkownika).

    • Lokalny użytkownik komputera: wybierz tę opcję dla lokalnego użytkownika (i wybierz lokalną nazwę komputera oraz nazwę logowania użytkownika).
    • Użytkownik Syteca do uwierzytelniania wtórnego: wybierz tę opcję dla użytkownika Syteca (i wybierz nazwę logowania użytkownika).

ADD USER pop-up ONLY

  • Kliknij przycisk Generuj, aby utworzyć kod QR (i klucz wyświetlany powyżej) do dostępu 2FA użytkownika, a następnie skopiuj kod QR (i klucz), aby przesłać je odpowiedniemu użytkownikowi.

unnamed (6)

  • Kliknij przycisk Zapisz, a użytkownik zostanie dodany do listy użytkowników wyświetlanej w siatce na zakładce „Uwierzytelnianie dwuskładnikowe” (na stronie „Żądania dostępu”).

Uwaga: Obecnie można dodawać tylko pojedynczych użytkowników, a nie całe grupy użytkowników.

Uwaga: Po zamknięciu tego okna nie będzie już możliwe ponowne wyświetlenie kodu QR (ani klucza) przez żadnego użytkownika ze względów bezpieczeństwa.

Uwaga: Od momentu dodania użytkownika, jeśli 2FA jest również włączone na komputerze agenta monitorowania, z którego korzysta (patrz niżej), to przy pierwszym logowaniu użytkownik będzie zobowiązany zeskanować kod QR (przekazany mu przez użytkownika Konsoli Zarządzania, który go dodał powyżej) przy użyciu aplikacji uwierzytelniającej (np. Google Authenticator lub Microsoft Authenticator), a następnie używać aplikacji do generowania jednorazowych haseł TOTP przy każdym logowaniu.

2. Włączanie 2FA na komputerach agentów monitorowania

[Wymagane dla wszystkich komputerów agentów monitorowania z systemem Windows i Linux:] 2FA musi być włączone na komputerach agentów, aby wymusić logowanie użytkowników z użyciem 2FA.

Aby włączyć uwierzytelnianie dwuskładnikowe na komputerze agenta (lub wszystkich komputerach w grupie agentów), wykonaj następujące kroki:

  • Zaloguj się do Konsoli Zarządzania jako użytkownik z uprawnieniem „Zarządzanie konfiguracją agentów monitorowania”.

  • Otwórz stronę „Agenci”, znajdź wymaganego agenta lub grupę agentów i kliknij jego nazwę, aby go edytować.

  • Przejdź na zakładkę „Opcje uwierzytelniania” i przewiń do sekcji „Uwierzytelnianie dwuskładnikowe i wtórne”.

  • Zaznacz pole wyboru „Włącz uwierzytelnianie dwuskładnikowe”, aby aktywować tę funkcję.

image2025-2-20_14-40-23

Uwaga: Po włączeniu 2FA dla agenta (lub grupy agentów), przy pierwszym logowaniu wszyscy użytkownicy komputerów agenta będą zobowiązani zeskanować kod QR przy użyciu aplikacji uwierzytelniającej (np. Google Authenticator lub Microsoft Authenticator), a następnie używać tej aplikacji do generowania jednorazowych haseł TOTP przy każdym logowaniu.

  • [Tylko dla użytkowników Windows:] Zaznacz pole wyboru „Nie generuj kodu QR automatycznie” w (mało prawdopodobnym) przypadku, jeśli chcesz wyłączyć funkcję masowego 2FA, co spowoduje konieczność ręcznego dodania wszystkich użytkowników agentów Windows na stronie „Żądania dostępu”.

  • Kliknij przycisk Zakończ (na dole strony), aby zastosować zmiany.

3. Logowanie do komputera agenta monitorowania z użyciem 2FA

Użytkownik komputera agenta monitorowania musi się zalogować przy użyciu swoich danych uwierzytelniających Windows / Linux / Active Directory, a następnie Syteca wyświetli monit o wprowadzenie jednorazowego hasła TOTP wygenerowanego przez aplikację uwierzytelniającą (np. Google Authenticator lub Microsoft Authenticator).

Uwaga: Przy pierwszym logowaniu, po włączeniu 2FA dla agenta (lub grupy agentów), każdy użytkownik danego komputera będzie zobowiązany zeskanować kod QR (lub wpisać klucz) do aplikacji uwierzytelniającej:

  • Jeśli użytkownik 2FA został skonfigurowany ręcznie (patrz wyżej – zwykle dotyczy to użytkowników Linux, ale może też dotyczyć Windows), to kod QR (lub wyświetlony nad nim klucz) musi zostać przekazany użytkownikowi przez użytkownika Konsoli Zarządzania.

unnamed (7)

  • Jeśli użytkownik 2FA nie został skonfigurowany ręcznie (patrz wyżej – tylko dla użytkowników Windows), kod QR (i klucz wyświetlony pod nim) zostaną pokazane użytkownikowi przy jego pierwszym logowaniu po włączeniu 2FA.

image-2023-10-31_15-29-42

Uwaga: Po zaznaczeniu pola „Zachowałem kod w urządzeniu uwierzytelniającym” i kliknięciu „Potwierdź”, użytkownik zostanie dodany do siatki użytkowników na zakładce „Uwierzytelnianie dwuskładnikowe” (na stronie „Żądania dostępu”).

Uwaga: Tekst wyświetlany obok kodu QR może być dostosowany w Konsoli Zarządzania na stronie „Konfiguracja” (zakładka „Dostosowanie”, sekcja „Uwierzytelnianie dwuskładnikowe”).

Po wprowadzeniu jednorazowego hasła wygenerowanego przez aplikację uwierzytelniającą i kliknięciu „OK”, użytkownik zostanie zalogowany do komputera agenta monitorowania (i automatycznie dodany do siatki użytkowników na zakładce „Uwierzytelnianie dwuskładnikowe”).

Enter the password

Uwaga: Jeśli użytkownik nie może samodzielnie wygenerować hasła jednorazowego (TOTP) (w dowolnym momencie po zeskanowaniu kodu QR), może skontaktować się z użytkownikiem Konsoli Zarządzania z prośbą o podanie aktualnego jednorazowego hasła (zmienia się co 30 sekund).

Uwaga: Aby użytkownik mógł zostać poprawnie uwierzytelniony za pomocą 2FA, czas systemowy oraz strefa czasowa na komputerze z Serwerem Aplikacji Syteca oraz na urządzeniu użytkownika muszą być zsynchronizowane.

 

4. Zarządzanie dostępem 2FA użytkowników

Lista użytkowników z aktywnym 2FA jest widoczna w siatce na zakładce „Uwierzytelnianie dwuskładnikowe” (na stronie „Żądania dostępu”), gdzie dostęp 2FA może być zarządzany przez użytkownika Konsoli Zarządzania posiadającego uprawnienia „Zarządzanie konfiguracją agentów monitorowania” oraz „Zarządzanie użytkownikami”:

  • Kliknij ikonę „Pokaż” obok użytkownika, aby zobaczyć jego aktualne hasło jednorazowe (takie samo jak generowane przez jego aplikację uwierzytelniającą – zmienia się co 30 sekund), co może być przydatne, jeśli użytkownik nie ma dostępu do swojego telefonu.
  • Kliknij ikonę „Usuń” obok użytkownika, aby usunąć go z siatki 2FA (lub nagłówek kolumny „Usuń wszystko”, aby usunąć 2FA dla wszystkich użytkowników), po czym przy kolejnym logowaniu użytkownik ponownie zostanie poproszony o zeskanowanie kodu QR (lub wpisanie klucza).

Uwaga: Aby użytkownik nie musiał już (skanować kodu QR lub) podawać hasła 2FA przy logowaniu, należy również wyłączyć 2FA na komputerze agenta (odznaczając pole „Włącz uwierzytelnianie dwuskładnikowe” podczas edycji odpowiedniego agenta / grupy agentów).

Uwaga: Jeśli komputer agenta jest offline w momencie usunięcia użytkownika z siatki, należy najpierw odznaczyć i ponownie zaznaczyć pole „Włącz uwierzytelnianie dwuskładnikowe” podczas edycji agenta, zanim użytkownik będzie mógł się ponownie zalogować przy użyciu 2FA.

  • [Tylko dla użytkowników Linux:] Kliknij przycisk „Dodaj” (zgodnie z powyższym opisem), aby ręcznie dodać użytkowników (lub grupy użytkowników), którzy będą musieli używać 2FA do logowania (i którym należy ręcznie przekazać kod QR).

Uwaga: Ręczne dodawanie użytkowników wymaganych do logowania przez 2FA zwykle dotyczy tylko użytkowników Linux, ponieważ nie są oni obecnie obsługiwani przez funkcję masowego 2FA. Użytkownicy Windows również muszą być dodani ręcznie tylko w przypadku wyłączenia tej funkcji (tj. gdy zaznaczone jest pole „Nie generuj kodu QR automatycznie”).

ACCESS MANAGEMENT page (SHOP and ANNOT)2 - 2FA tab