Управление методами 2FA

ℹ️ О документе

В этом разделе описывается управление методами двухфакторной аутентификации: выбор предпочтительного метода, переключение между TOTP и Email 2FA, настройка пропуска 2FA при входе через биометрию, удаление методов и восстановление доступа.

Обзор управления 2FA

После настройки одного или нескольких методов двухфакторной аутентификации пользователи могут управлять ими через свой профиль. IDENTYX поддерживает гибкое управление методами 2FA, позволяя пользователям выбирать предпочтительный способ подтверждения входа.

🔄 Переключение методов

Пользователи могут включать и отключать различные методы 2FA по необходимости.

⚙️ Предпочтительный метод

При наличии нескольких методов можно выбрать, какой использовать по умолчанию.

🔐 Пропуск 2FA

При входе через биометрию можно не запрашивать второй фактор.

🔧 Восстановление доступа

Администратор может сбросить методы 2FA при потере доступа.

Выбор предпочтительного метода 2FA

Если у пользователя настроены оба метода 2FA (TOTP и Email), он может выбрать предпочтительный метод, который будет использоваться по умолчанию при входе в систему.

Как работает предпочтительный метод

  1. При входе в систему пользователю предлагается ввести код с помощью выбранного предпочтительного метода
  2. Если предпочтительный метод — TOTP, система попросит ввести код из приложения-аутентификатора
  3. Если предпочтительный метод — Email, система автоматически отправит код на электронную почту
  4. Пользователь всегда может переключиться на другой метод прямо на странице входа

Установка предпочтительного метода

Шаги для установки предпочтительного метода:

  1. Откройте свой Профиль пользователя через меню в правом верхнем углу
  2. В секции Безопасность найдите блок Предпочтительный метод 2FA
  3. Этот блок отображается только если у вас настроены оба метода (TOTP и Email 2FA)
  4. Используйте переключатель для выбора метода:
    • TOTP — приложение аутентификации (Google Authenticator, Microsoft Authenticator и т.д.)
    • Email — код на электронную почту
  5. Настройка сохраняется автоматически
ℹ️ Важно знать

Предпочтительный метод влияет только на метод, который будет предложен первым. Вы всегда можете переключиться на другой метод во время входа, если это необходимо.

Переключение между методами

Включение TOTP

Чтобы включить двухфакторную аутентификацию через приложение-аутентификатор:

  1. Откройте свой Профиль пользователя
  2. В секции Безопасность найдите блок Двухфакторная аутентификация (TOTP)
  3. Переведите переключатель в положение Включено
  4. Появится модальное окно с QR-кодом
  5. Отсканируйте QR-код приложением-аутентификатором на телефоне
  6. Введите 6-значный код из приложения для подтверждения
  7. После успешной проверки TOTP будет активирован

Отключение TOTP

Чтобы отключить TOTP:

  1. Откройте свой Профиль пользователя
  2. В секции Безопасность найдите блок Двухфакторная аутентификация (TOTP)
  3. Переведите переключатель в положение Отключено
  4. TOTP будет удален, и вам нужно будет настроить его заново, если захотите использовать снова
⚠️ Предупреждение

При отключении TOTP секретный ключ удаляется из системы. Если вы захотите снова использовать TOTP, придется настроить его заново (отсканировать новый QR-код).

Включение Email 2FA

Чтобы включить двухфакторную аутентификацию через электронную почту:

ℹ️ Требования

Для использования Email 2FA необходимо иметь подтвержденный адрес электронной почты.

  1. Убедитесь, что ваш email подтвержден (в профиле должна быть отметка о подтверждении)
  2. В секции Безопасность найдите блок Двухфакторная аутентификация (Email)
  3. Переведите переключатель в положение Включено
  4. Email 2FA будет активирована
  5. При следующем входе на вашу почту будет отправлен 6-значный код

Отключение Email 2FA

Чтобы отключить Email 2FA:

  1. Откройте свой Профиль пользователя
  2. В секции Безопасность найдите блок Двухфакторная аутентификация (Email)
  3. Переведите переключатель в положение Отключено
  4. Email 2FA будет деактивирована
ℹ️ Автоматическое отключение

Если вы удалите свой адрес электронной почты из профиля, Email 2FA будет автоматически отключена.

Пропуск 2FA при входе через WebAuthn

IDENTYX позволяет настроить вход через биометрию или физический ключ безопасности (WebAuthn) без дополнительного запроса второго фактора. Это повышает удобство использования при сохранении высокого уровня безопасности, так как сам метод WebAuthn уже является двухфакторным.

Что означает пропуск 2FA

При включенной опции пропуска 2FA:

  • При входе через биометрию (FaceID, TouchID, Windows Hello) система не будет запрашивать дополнительный код
  • При входе через физический ключ безопасности (USB-токен) второй фактор также не запрашивается
  • При входе через логин и пароль второй фактор по-прежнему будет запрашиваться как обычно

Включение пропуска 2FA для WebAuthn

ℹ️ Требования
  • Эта функция должна быть разрешена администратором системы
  • У вас должно быть настроено хотя бы одно устройство WebAuthn (биометрия или физический ключ)

Шаги для включения:

  1. Откройте свой Профиль пользователя
  2. В секции Безопасность найдите блок Вход по биометрии/ключу без второго фактора
  3. Этот блок отображается только если:
    • Администратор разрешил эту функцию в настройках системы
    • У вас настроено хотя бы одно устройство WebAuthn
  4. Переведите переключатель в положение Включено
  5. Настройка сохранится автоматически
✅ Безопасность

WebAuthn сам по себе является двухфакторным методом аутентификации, так как требует «что-то, что у вас есть» (устройство или ключ) и «что-то, чем вы являетесь» (биометрия) или «что-то, что вы знаете» (PIN-код ключа). Поэтому пропуск дополнительного второго фактора не снижает уровень безопасности.

Удаление методов 2FA

Удаление TOTP (пользователем)

Пользователь может самостоятельно удалить привязку к приложению-аутентификатору:

  1. Откройте свой Профиль пользователя
  2. В секции Безопасность найдите блок Двухфакторная аутентификация (TOTP)
  3. Если TOTP включен, переведите переключатель в положение Отключено
  4. Секретный ключ будет удален из системы
  5. Приложение-аутентификатор на телефоне продолжит генерировать коды, но они больше не будут работать
  6. Рекомендуется также удалить запись из приложения-аутентификатора на телефоне

Удаление Email 2FA (пользователем)

Пользователь может отключить двухфакторную аутентификацию через Email:

  1. Откройте свой Профиль пользователя
  2. В секции Безопасность найдите блок Двухфакторная аутентификация (Email)
  3. Переведите переключатель в положение Отключено
  4. Email 2FA будет отключена

Управление устройствами WebAuthn

Пользователь может просматривать и удалять привязанные устройства биометрии и ключи безопасности:

  1. Откройте свой Профиль пользователя
  2. В секции Методы авторизации найдите карточку Биометрия и аппаратные ключи
  3. Нажмите кнопку Управление
  4. Откроется модальное окно со списком всех привязанных устройств
  5. Для каждого устройства отображается:
    • Название устройства (если доступно)
    • Браузер и операционная система
    • Тип устройства (мобильное, планшет, компьютер)
    • Сокращенный ID устройства
    • Дата и время регистрации
  6. Нажмите кнопку с иконкой корзины рядом с устройством, которое хотите удалить
  7. Подтвердите удаление
  8. Устройство будет отвязано от вашего аккаунта
⚠️ Внимание

При удалении всех устройств WebAuthn вы больше не сможете входить через биометрию или физический ключ, пока не привяжете новое устройство.

Восстановление доступа при потере 2FA

Если пользователь потерял доступ к методам двухфакторной аутентификации (например, потерял телефон с приложением-аутентификатором или не имеет доступа к почте), администратор может помочь восстановить доступ.

Сброс 2FA администратором

Администратор может удалить настроенную двухфакторную аутентификацию у пользователя (TOTP):

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Найдите нужного пользователя и откройте его карточку
  3. В секции Безопасность и ограничения справа от заголовка найдите кнопку Отвязать 2FA
  4. Нажмите эту кнопку
  5. Подтвердите удаление
  6. TOTP пользователя будет удален из системы
  7. Пользователь сможет войти без второго фактора или настроить новый метод 2FA
ℹ️ Важно знать

Кнопка "Отвязать 2FA" удаляет только TOTP (приложение-аутентификатор). Email 2FA управляется самим пользователем через его профиль, администратор не может отключить Email 2FA через интерфейс.

Отключение требования 2FA

Если для пользователя установлено требование обязательной двухфакторной аутентификации, администратор может временно отключить это требование:

  1. Откройте карточку пользователя
  2. В секции Безопасность и ограничения найдите чекбокс Обязательная 2FA
  3. Снимите галочку
  4. Нажмите Сохранить
  5. Пользователь сможет войти без настройки 2FA
  6. После того как пользователь восстановит доступ и настроит новые методы 2FA, можно снова включить это требование
ℹ️ Рекомендация

После восстановления доступа рекомендуется попросить пользователя заново настроить методы двухфакторной аутентификации для обеспечения безопасности аккаунта.

Рекомендации по управлению 2FA

📱 Несколько методов

Настройте оба метода 2FA (TOTP и Email), чтобы иметь альтернативный способ входа при недоступности одного из них.

💾 Резервное копирование

Некоторые приложения-аутентификаторы (например, Authy) поддерживают резервное копирование секретных ключей. Используйте эту функцию.

🔐 WebAuthn

WebAuthn — наиболее удобный и безопасный метод. Привяжите несколько устройств для надежности.

📧 Актуальный email

Убедитесь, что ваш email всегда актуален и вы имеете к нему доступ, особенно если используете Email 2FA.

Решение проблем

Не удается включить Email 2FA

Возможные причины:

  • Почта не подтверждена — проверьте статус подтверждения email в профиле. Если почта не подтверждена, нажмите кнопку для отправки письма с подтверждением.
  • Почта не указана — добавьте адрес электронной почты в профиль и подтвердите его.
  • Email 2FA отключена глобально — администратор системы мог отключить возможность использования Email 2FA. Обратитесь к администратору.

Не отображается опция выбора предпочтительного метода

Возможные причины:

  • Настроен только один метод — опция появляется только когда у вас настроены оба метода (TOTP и Email 2FA).
  • Email 2FA отключена глобально — если администратор отключил Email 2FA в настройках системы, эта опция не будет доступна.

Не отображается опция пропуска 2FA для WebAuthn

Возможные причины:

  • Функция отключена администратором — эта функция должна быть разрешена в глобальных настройках системы.
  • WebAuthn не настроен — у вас должно быть привязано хотя бы одно устройство WebAuthn (биометрия или физический ключ).

Потерян доступ ко всем методам 2FA

Решение:

  1. Обратитесь к администратору системы
  2. Администратор может сбросить TOTP (нажав кнопку "Отвязать 2FA" в вашей карточке пользователя)
  3. Администратор также может временно отключить требование обязательной 2FA в вашей карточке
  4. После восстановления доступа заново настройте методы 2FA
  5. Рекомендуется настроить несколько методов для предотвращения подобных ситуаций в будущем
✅ Готовы продолжить?

Теперь вы знаете, как управлять методами двухфакторной аутентификации. Переходите к разделу Локальные группы для изучения управления группами пользователей.