Аутентификация и доступ
Правильный подход к аутентификации значительно повышает безопасность ваших данных. Пассворк поддерживает несколько методов аутентификации: используйте ключи доступа для беспарольного входа и в качестве второго фактора, подключайте двухфакторную аутентификацию с помощью мобильных приложений, настраивайте единый вход по SSO и подключайте клиентское шифрование.
Сценарии использования
Обязательная двухфакторная аутентификация
Задача: обеспечить использование 2ФА всеми пользователями.
Решение:
Настройки ролей позволяют включить обязательную двухфакторную аутентификацию сразу для нескольких пользователей. Откройте нужную роль в разделе Роли и перейдите к блоку настроек Аутентификации.
Включите опцию Обязательная двухфакторная аутентификация. Эта политика будет применяться ко всем пользователям, которым назначена данная роль.
Пользователи смогут настроить двухфакторную аутентификацию с помощью мобильного приложения Пассворк 2ФА или сторонних приложений (например, Google Authenticator или Microsoft Authenticator), а также использовать ключи доступа в качестве второго фактора.
После включения политики пользователи без настроенной 2ФА не смогут войти в Пассворк.
Ключи доступа для входа и в качестве второго фактора
Задача: добавить возможность беспарольного входа и усилить 2ФА с помощью криптографии.
Решение:
Рекомендуйте пользователям добавить ключи доступа на странице Аутентификация — они поддерживают биометрию (Face ID, Touch ID, Windows Hello) и физические ключи безопасности на основе WebAuthn.
Ключи доступа можно использовать как вместо пароля, так и в качестве второго фактора при входе с использованием привычных учётных данных.
Для обеспечения резервного доступа мы рекомендуем добавлять сразу несколько ключей (например, один хранится на устройстве, а другой на аппаратном ключе).
Настройка единого входа (SSO)
Задача: дать сотрудникам возможность входить в Пассворк, используя корпоративные учётные данные.
Решение:
Настройте SSO в соответствующем разделе настроек Пассворка.
Включите опцию приоритетного входа через SSO в блоке общих настроек, чтобы пользователи автоматически перенаправлялись на корпоративную систему входа.
При необходимости вы можете отключить для конкретных пользователей другие способы входа (локальный пароль и LDAP), оставив только SSO, чтобы эти сотрудники могли входить в Пассворк исключительно через корпоративную систему.
Восстановление доступа при утере ключа доступа или устройства с 2ФА
Задача: восстановить доступ пользователя к аккаунту, если он потерял ключ доступа или устройство с приложением‑аутентификатором.
Решение:
Откройте нужного пользователя в разделе Пользователи и нажмите на Аутентификация в панели справа.
Если утерян ключ доступа, воспользуйтесь опцией Сброса ключей доступа. После этого пользователь сможет снова добавить ключи доступа в своих настройках аутентификации.
Если пользователь больше не имеет доступа к приложению 2ФА, нажмите Сбросить в соответствующем пункте меню. После входа пользователь сможет повторно настроить двухфакторную аутентификацию.
Гибридная аутентификация
Задача: настроить разные методы входа для разных категорий пользователей: SSO для сотрудников, стандартный вход для внешних пользователей
Решение:
Настройте SSO для корпоративных пользователей, но не делайте его приоритетным способом входа.
Внешние пользователи, например подрядчики, смогут использовать стандартный вход с логином и паролем.
Для внешних пользователей обязательно включите обязательную 2ФА — через приложения-аутентификаторы или ключи доступа.
Временная блокировка учетных записей при подозрительной активности
Задача: автоматически блокировать учетные записи при обнаружении подозрительных попыток входа.
Решение:
Настройте политики блокировки в блоке Политики блокировки локальной аутентификации системных настроек для автоматической блокировки после нескольких неудачных попыток входа.
Множественные неудачные попытки входа также фиксируются в журнале действий.
При необходимости вы можете заблокировать пользователя вручную до завершения расследования.
Панель безопасности покажет, к каким паролям имел доступ заблокированный пользователь.
FAQ
Можно ли использовать несколько методов аутентификации одновременно?
Да, одновременно могут использоваться несколько методов аутентификации: локальный пароль, SSO, LDAP и ключи доступа. Кроме этого доступна двухфакторная аутентификация с помощью мобильных приложений и ключей доступа. Администратор может настроить доступные для конкретного пользователя методы в окне Аутентифик�ация настроек пользователя.
Что делать, если пользователь потерял устройство с 2ФА или ключ доступа?
Администратор может сбросить привязанные ключи доступа или устройства с 2ФА на странице настроек пользователя. Если у пользователя были добавлены несколько ключей, он сможет войти с помощью другого ключа, не прибегая к процедуре сброса.
Можно ли восстановить доступ к данным если забыл мастер-пароль?
Восстановление доступа к данным при утере мастер-пароля невозможно. Однако вы можете создать служебную учетную запись в качестве корпоративного администратора в нужном типе сейфов, под которой вы сможете войти для получения доступа к критически важным данным.
Обязательно ли включать двухфакторную аутентификацию для всех пользователей?
Рекомендуется включать 2ФА хотя бы для пользователей с доступом к критически важным данным и административным правам. Через настройки ролей вы можете включить обязательную двухфакторную аутентификацию только для отдельных ролей (например, администраторы, владельцы сейфов), не затраг�ивая всех пользователей системы.
Можно ли разрешить вход только через корпоративный SSO?
Да, для пользователей вы можете оставить только SSO в качестве доступного метода входа. В настройках пользователя или роли можно отключить локальный пароль и другие методы (например, LDAP), чтобы вход выполнялся исключительно через корпоративную систему единого входа.