Раздел Безопасность позволяет контролировать доступ к порталу и отслеживать активность всех пользователей. Он содержит четыре подраздела: Доступ к порталу, Права доступа, История входов в систему и Журнал аудита.
Контроль доступа к порталу
Подраздел Доступ к порталу в разделе настроек Безопасности позволяет обеспечить безопасные и удобные способы входа на портал для пользователей.
Настройки надежности пароля
Этот раздел позволяет определить сложность пароля (эффективность пароля при сопротивлении угадыванию и прямому подбору). Для этого:
Двухфакторная аутентификация
Этот раздел позволяет вам включить двухэтапную авторизацию с помощью SMS или приложений для аутентификации, что обеспечит большую безопасность данных на вашем портале.
Для
SaaS-версии используемый на портале SMS-провайдер выбирается в зависимости от региона портала:
smsc используется для стран СНГ,
Clickatell и
Twilio используются для всех остальных регионов. Вы можете добавить доступных SMS-провайдеров в разделе
Настройки -> Интеграция -> Сторонние сервисы.
Если вы используете
серверную версию, сначала необходимо подключить хотя бы одного SMS-провайдера в разделе
Настройки -> Интеграция -> Сторонние сервисы, чтобы можно было включить опцию
Двухфакторная аутентификация.
Чтобы включить двухфакторную аутентификацию с помощью SMS,
- убедитесь, что в разделе Интеграция подключен один из SMS-провайдеров,
- в разделе Двухфакторная аутентификация выберите переключатель C помощью SMS,
- для детальной настройки можно воспользоваться дополнительными настройками. Нажмите Показать дополнительные параметры и задайте нужные настройки:
- в разделе Обязательная двухфакторная аутентификация вы можете добавить пользователей или группы, для которых будет выполняться двухфакторная аутентификация,
- в разделе Доверенные сети вы можете добавить доверенные IP-адреса, для которых двухфакторная верификация не будет выполняться. Укажите отдельные IP-адреса в формате IPv4 (#.#.#.#, где # - это числовое значение от 0 до 255), или задайте диапазон IP-адресов, указав начальный и конечный IP-адреса диапазона в формате #.#.#.#-#.#.#.#, или используйте маску CIDR в формате #.#.#.#/#.
- нажмите кнопку Сохранить внизу раздела, чтобы выбранные настройки вступили в силу.
После включения двухфакторной аутентификации с помощью SMS пользователь сможет получить доступ к данным портала только после ввода обычного адреса email и пароля (или входа через аккаунт социальной сети) и указания шестизначного кода подтверждения, полученного по SMS.
SMS-сообщения приходят на основной номер мобильного телефона пользователя, указанный при первом входе на портал с использованием двухфакторной аутентификации. В дальнейшем этот номер можно изменить на странице профиля пользователя. Код подтверждения можно получить повторно, нажав кнопку Отправить код еще раз, но не больше 5 раз за 5 минут. Отправленный код действителен в течение 10 минут.
Отправка SMS-сообщений осуществляется только при положительном балансе. Вы всегда можете проверить текущий баланс в учетной записи вашего SMS-провайдера. Не забывайте своевременно пополнять баланс.
Чтобы включить двухфакторную аутентификацию с помощью приложения для аутентификации,
- в разделе Двухфакторная аутентификация выберите переключатель С помощью приложения для аутентификации,
- для детальной настройки можно воспользоваться дополнительными настройками. Нажмите Показать дополнительные параметры и задайте нужные настройки:
- в разделе Обязательная двухфакторная аутентификация вы можете добавить пользователей или группы, для которых будет выполняться двухфакторная аутентификация, даже если пользователь приходит с доверенного IP. Для остальных пользователей, не включенных в список Доверенные сети, двухфакторная проверка осуществляется в обычном режиме.
- в разделе Доверенные сети вы можете добавить доверенные IP-адреса, для которых двухфакторная верификация не будет выполняться. Укажите отдельные IP-адреса в формате IPv4 (#.#.#.#, где # - это числовое значение от 0 до 255), или задайте диапазон IP-адресов, указав начальный и конечный IP-адреса диапазона в формате #.#.#.#-#.#.#.#, или используйте маску CIDR в формате #.#.#.#/#.
- нажмите кнопку Сохранить внизу раздела, чтобы выбранные настройки вступили в силу.
После включения двухфакторной аутентификации с помощью приложения для аутентификации пользователь сможет получить доступ к данным портала только после ввода обычного адреса email и пароля (или входа через аккаунт социальной сети) и указания шестизначного кода подтверждения или резервного кода, сгенерированного приложением для аутентификации.
Для получения доступа к порталу в первый раз после включения двухфакторной аутентификации:
- Введите обычные учетные данные для доступа к порталу. На странице подтверждения входа будут отображены QR-код и секретный ключ.
- Установите приложение для аутентификации на своем мобильном устройстве. Вы можете использовать Google Authenticator для Android и iOS или Authenticator для Windows Phone.
- Откройте приложение для аутентификации на мобильном устройстве и настройте его одним из следующих способов:
- Отсканируйте QR-код, отображенный в браузере, или
- Вручную введите секретный ключ, отображенный в браузере,
- На странице подтверждения входа на портал введите шестизначный код, сгенерированный приложением,
- Нажмите кнопку Подключить приложение.
Подробнее об использовании двухфакторной аутентификации на портале можно прочитать в следующей статье.
Настройки доверенных почтовых доменов
Этот раздел позволяет вам указать почтовые серверы, которые могут использоваться для самостоятельной регистрации пользователей в онлайн-офисе. По умолчанию эта возможность отключена. Для ее включения:
- выберите переключатель Пользовательские домены,
- введите доверенный почтовый сервер в появившемся ниже поле,
- установите флажок Добавить пользователей как гостей, если требуется предоставить добавленным пользователям права только на просмотр,
- нажмите кнопку Сохранить внизу раздела, чтобы заданные настройки вступили в силу.
Чтобы добавить больше почтовых серверов, нажмите на ссылку Добавить доверенный домен. Для удаления сервера, добавленного по ошибке, щелкните по соответствующему значку справа от поля.
После этого любой пользователь, имеющий учетную запись на указанном почтовом сервере, сможет зарегистрироваться самостоятельно, нажав на ссылку Нажмите сюда, чтобы присоединиться на странице Входа и введя адрес электронной почты. Пригласительное сообщение со ссылкой на портал будет выслано на указанный адрес электронной почты. Чтобы войти на портал, пользователь должен будет перейти по ссылке из сообщения, ввести пароль и подтвердить его.
Чтобы снова отключить эту возможность, выберите переключатель Отключено.
Настройки IP-безопасности
Этот раздел позволяет предотвратить доступ на портал нежелательных посетителей, разрешив доступ к нему только из доверенных сетей. Если пользователь пытается войти на портал с любого IP-адреса, кроме указанных, эта попытка входа будет заблокирована. Чтобы ограничить доступ к порталу по IP-адресам,
- выберите переключатель Включить;
- нажмите на ссылку Добавить разрешенный IP-адрес в нужном разделе:
- Для всех пользователей - этот раздел позволяет вам задать правила, которые применяются ко всем пользователям, включая администраторов с полным доступом.
- Для администраторов с полным доступом - этот раздел позволяет вам задать дополнительные правила, которые применяются только к администраторам с полным доступом.
- в открывшемся поле ввода укажите отдельный IP-адрес в формате IPv4 (#.#.#.#, где # - это числовое значение от 0 до 255) или задайте диапазон IP-адресов, указав начальный и конечный IP-адреса диапазона в формате #.#.#.#-#.#.#.#, или используйте маску CIDR в формате #.#.#.#/#;
Сведения об IP-адресах посетителей портала можно найти в подразделе История входов в систему раздела Безопасность, нажав на кнопку Скачать и открыть отчет.
- таким же образом добавьте нужное количество доверенных IP-адресов;
- нажмите кнопку Сохранить внизу раздела.
В случае необходимости можно удалить добавленные IP-адреса, нажав на соответствующий значок справа от IP-адреса. Чтобы снова отключить эту возможность, выберите переключатель Отключить и нажмите кнопку Сохранить.
Настройки входа
Этот раздел позволяет защитить портал от атак полным перебором.
- в поле Количество попыток задайте лимит неудачных попыток входа пользователя;
- в поле Время блокировки (сек) задайте период времени для блокирования новых попыток входа;
- в поле Период проверки (сек) задайте период времени для подсчета неудачных попыток входа.
При достижении указанного лимита, попытки, исходящие с соответствующего IP-адреса, будут заблокированы (или, в SaaS-версии, будет запрошена капча) на выбранный период времени.
Настройки сообщений администратору
Этот раздел позволяет отобразить контактную форму на странице Входа, чтобы люди могли отправить сообщение администратору портала, если у них возникнут проблемы с доступом на портал.
Чтобы включить эту возможность, выберите соответствующий переключатель и нажмите кнопку Сохранить внизу раздела, чтобы выбранные настройки вступили в силу.
Время существования сессии
Этот раздел позволяет позволяет задать время (в минутах), прежде чем пользователям портала потребуется заново вводить учетные данные для получения доступа к порталу.
Чтобы задать время существования сессии, выберите переключатель Включить, в появившемся поле Время существования введите нужное значение времени в минутах и нажмите кнопку Сохранить внизу раздела, чтобы выбранные настройки вступили в силу. После сохранения настроек все пользователи будут разлогинены.