Obsah skrýt
1 Vícefaktorové ověřování IP ústředny řady GRANDSTREAM UCM63xx
2 ZAVEDENÍ
3 SPECIFIKACE ZAŘÍZENÍ MFA
4 VIRTUÁLNÍ APLIKACE MFA
5 ODSTRANĚNÍ ZAŘÍZENÍ MFA
6 Často kladené otázky
7 Dokumenty / zdroje
7.1 Reference

GRANDSTREAM-LOGO

Vícefaktorové ověřování IP ústředny řady GRANDSTREAM UCM63xx

PRODUKT GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication

Průvodce vícefaktorovou autentizací

ZAVEDENÍ

Funkce vícefaktorového ověřování (MFA) IP-PBX přidává jednoduchý a bezpečný způsob ochrany systému, a to kromě vyžadování uživatelského jména a hesla pro přihlášení. Pokud je tato funkce povolena, IP-PBX bude vyžadovat přihlašovací údaje (1. faktor) a ověřovací kód ze zařízení MFA (2. faktor), což zvyšuje zabezpečení systému IP-PBX. Pro použití MFA si uživatelé budou muset nainstalovat virtuální aplikaci MFA nebo zakoupit fyzické zařízení MFA. MFA se konfiguruje a používá pro jednotlivé účty, nikoli pro všechny.

Poznámka:
Termín IP-PBX v této příručce označuje řadu UCM63xx, cloudovou UCM, softwarovou UCM a řadu GCC6000 (modul PBX).

  • Virtuální zařízení MFA
    Virtuální zařízení MFA označují softwarové aplikace, které běží na mobilních zařízeních nebo jiných zařízeních a nahrazují fyzická zařízení MFA. Aplikace MFA vygeneruje šestimístný kód pomocí algoritmu jednorázového hesla (TOTP) založeného na čase. Tento kód bude vyžadován při přihlašování k IP-PBX. Virtuální zařízení MFA přiřazené každému uživateli musí být jedinečné. Uživatel nemůže k přihlášení ke svému účtu použít kód ze zařízení nebo aplikace MFA jiného uživatele. Protože aplikace MFA mohou běžet na nezabezpečeném hardwaru, nemusí poskytovat stejnou úroveň zabezpečení jako fyzická zařízení MFA.
  • Fyzické zařízení MFA
    Fyzické zařízení MFA vygeneruje šestimístný kód pomocí algoritmu jednorázového hesla (TOTP). Tento kód bude vyžadován při přihlašování k IP-PBX. Fyzické zařízení MFA přiřazené každému uživateli musí být jedinečné. Uživatel nemůže k přihlášení ke svému účtu použít kód ze zařízení MFA nebo aplikace jiného uživatele.

SPECIFIKACE ZAŘÍZENÍ MFA

  Virtuální zařízení MFA  Fyzické zařízení MFA
 Zařízení  Viz tabulka aplikací virtuálních MFA níže  Hardwarový token TOTP  Bezpečnostní klíč FIDO
 Náklady  Uvolnit  Cena je určena dodavatelem třetí strany  Cena je určena dodavatelem třetí strany
  Specifikace zařízení  Jakékoli mobilní zařízení nebo tablet, který umí instalovat a spouštět aplikace podporující standard TOTP  Zařízení od třetí strany, které podporuje standardní zařízení TOTP, jako například zařízení Microcosm MFA   Zařízení, která podporují otevřený standard ověřování FIDO U2F.
  Aplikační scénář  Na jednom zařízení lze podporovat více tokenů  Mnoho finančních institucí a podnikových IT organizací používá stejný typ zařízení.  Vynucujte metody ověřování plateb a posilujte bezpečnost transakcí elektronického obchodování.

VIRTUÁLNÍ APLIKACE MFA

Pro stažení a instalaci aplikací MFA přejděte do obchodu s aplikacemi ve svém mobilním zařízení nebo tabletu. V tabulce níže jsou uvedeny některé např.ample aplikace.

Mobilní zařízení Android™ Google Authenticator Twilio Authy Dvoufaktorové ověření
Mobilní zařízení iOS™ Dvoufázové ověřování Google Authenticator Twilio Authy
Zařízení Windows™ Mobile Authenticator (od společnosti Microsoft)

POUŽÍVÁNÍ ZAŘÍZENÍ MFA
Důrazně se doporučuje nakonfigurovat vícefaktorové ověřování (MFA), aby systém IP-PBX měl vyšší úroveň zabezpečení. Super administrátoři a administrátoři mohou MFA zapnout pro své účty, ale ne pro účty ostatních.

Použití virtuálního zařízení MFA
Nejprve si stáhněte aplikaci MFA z obchodu s aplikacemi (např. Apple App Store nebo Google Play Store). Viz tabulka 3, napřampméně dostupných aplikací MFA.

Poznámka
Pro správnou konfiguraci MFA musí být nastaveny e-mailové adresy pro IP-PBX a požadovaný účet správce. Toto je jediný způsob, jak zakázat MFA bez přihlášení k účtu. Pokud není nakonfigurována žádná e-mailová adresa, účet se nebude moci přihlásit.

Při konfiguraci MFA na IP-PBX postupujte takto:

  1. Přihlaste se k portálu pro správu IP-PBX s účtem super administrátora. Přejděte do Nastavení systému → Nastavení e-mailu a nakonfigurujte platná nastavení e-mailu, která umožní IP-PBX odesílat e-maily. Ujistěte se, že je pole Typ nastaveno na Klient.
  2. GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (1)Na IP-PBX web UI, přejděte na stránku Údržba → Správa uživatelů a kliknutím upravte informace o uživateli. Nakonfigurujte e-mailovou adresu pro správce.GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (2)
  3. Povolte vícefaktorové ověřování a v zobrazeném řádku vyberte ověřovací aplikaci. Poté klikněte na tlačítko Další.
  4. Okno certifikace zařízení Virtual MFA poskytne podrobné pokyny, jak vše nastavit. Uživatelé mohou buď naskenovat QR kód, nebo ručně zadat klíč prostřednictvím své aplikace MFA.GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (3)
  5. Otevřete svou virtuální aplikaci MFA a postupujte podle níže uvedených kroků.
    • Pokud vaše aplikace MFA podporuje QR kód, naskenujte poskytnutý QR kód. Některá mobilní zařízení mohou skenovat a detekovat QR kódy pomocí aplikace fotoaparátu.
    • Pokud vaše aplikace MFA nepodporuje QR kódy, klikněte na „Zobrazit klíč“ a poté klíč ručně zadejte v aplikaci MFA. Pokud MFA vyžaduje výběr způsobu generování kódu, vyberte možnost „Na základě času“.
      Poznámka
      Pokud virtuální aplikace MFA podporuje více zařízení nebo účtů MFA, vyberte možnost Přidat nové zařízení/účet MFA a vytvořte nové zařízení nebo nový účet.
  6. MZV bude periodicky generovat jednorázová hesla. Do pole Kód 1 zadejte zobrazené jednorázové heslo zobrazené v aplikaci MFA. Počkejte přibližně 30 sekund, než aplikace vygeneruje další jednorázové heslo. Zadejte toto nové heslo do pole Kód 2.GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (4)
  7. Klikněte na tlačítko Spustit ověřování. Po úspěšném ověřování klikněte na tlačítka Uložit a Použít změny, aby se nastavení projevila. Účet byl nyní úspěšně propojen s virtuálním zařízením MFA. Pro přihlášení k účtu bude nyní vyžadován kód MFA.

Poznámky

  1. Odešlete svůj požadavek ihned po vygenerování kódu. Jinak platnost TOTP (jednorázové heslo založené na čase) brzy vyprší. Pokud jeho platnost vypršela, začněte znovu.
  2. Jeden uživatel může být vázán pouze na jedno zařízení MFA.

Použití fyzického zařízení MFA
Uživatelé si budou muset zakoupit fyzické MFA zařízení a potvrdit, že IP-PBX má platná nastavení e-mailu nakonfigurovaná s polem Typ nastaveným na Klient. Účet, který se nastavuje pro MFA, musí mít také nakonfigurovanou platnou e-mailovou adresu.

Poznámka
Pro správnou konfiguraci MFA musí být nastaveny e-mailové adresy pro IP-PBX a požadovaný účet správce. Toto je jediný způsob, jak zakázat MFA bez přihlášení k účtu. Pokud není nakonfigurována žádná e-mailová adresa, účet se nebude moci přihlásit.

Nakonfigurujte hardwarový token TOTP
Níže jsou uvedeny kroky pro konfiguraci hardwarového tokenu s časově omezeným jednorázovým heslem (TOTP) na IP-PBX.

  1. Přihlaste se k portálu pro správu IP-PBX s účtem super administrátora. Přejděte do Nastavení systému → Nastavení e-mailu a nakonfigurujte platná nastavení e-mailu, která umožní IP-PBX odesílat e-maily. Ujistěte se, že je pole Typ nastaveno na Klient.
  2. Na IP-PBX web V uživatelském rozhraní přejděte na stránku Údržba → Správa uživatelů a kliknutím na tlačítko upravte informace o uživateli. Nakonfigurujte e-mailovou adresu pro administrátora.
  3. Povolte vícefaktorové ověřování a v následující výzvě vyberte hardwarový token TOTP. Poté klikněte na Další.
  4. Zobrazí se následující okno certifikace hardwarového MFA zařízení:GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (5)
  5. Zadejte tajný klíč zařízení. Chcete-li získat tajný klíč, kontaktujte svého dodavatele.
    Poznámka
    Tajný klíč musí být výchozí hex semena (seeds.txt) nebo semena base32. Napřampten:
    HEX SEED: B12345CCE6DA79B23456FE025E425D286A116826A63C84ACCFE21C8FE53FDB22 BASE32 SEED: WNKYUTRG3KE3FFTZ7UIO4QS5FBVBC2HJKY6IJLCP4QOH7ZJ12YUI====
  6. Do pole Kód 1 zadejte šestimístný kód zobrazený na zařízení MFA. Pro zobrazení kódu budete muset stisknout tlačítko na přední straně zařízení MFA. Počkejte přibližně 30 sekund, než zařízení vygeneruje nový kód. Zadejte tento druhý šestimístný kód do pole Kód 2.GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (6)
  7. Klikněte na spustit ověřování. Po autentizaci klikněte na uložit a použít, aby se nastavení projevilo. Nyní je váš účet úspěšně navázán na zařízení MFA. Aby se uživatel mohl úspěšně přihlásit, musí být zadán kód zařízení MFA.

Poznámky

  1. Odešlete svůj požadavek ihned po vygenerování kódu. V opačném případě může platnost jednorázového hesla vypršet. Pokud jeho platnost vypršela, začněte znovu.
  2. Každý uživatel může být vázán pouze na jedno MFA zařízení.

Konfigurace bezpečnostního klíče FIDO (pouze Cloud UCM)
Chcete-li nakonfigurovat ověřování bezpečnostního klíče FIDO pro Cloud UCM, postupujte podle následujících kroků:

  1. Přihlaste se k portálu pro správu Cloud UCM pomocí účtu superadministrátora. Přejděte do Nastavení systému → Nastavení e-mailu a nakonfigurujte platná nastavení e-mailu, která umožní službě Cloud UCM odesílat e-maily. Ujistěte se, že je pole Typ nastaveno na Klient.
  2. UCM v cloudu web V uživatelském rozhraní přejděte na stránku Údržba → Správa uživatelů a kliknutím na tlačítko upravte informace o uživateli. Nakonfigurujte e-mailovou adresu pro administrátora.
  3. Povolte vícefaktorové ověřování a v následující výzvě vyberte bezpečnostní klíč FIDO. Poté klikněte na Další.
  4. Vyberte, kam uložit přístupový klíč: na iPhone, iPad, zařízení Android nebo fyzický bezpečnostní klíč.GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (7)
  5. Pokud je vybráno zařízení iPhone, iPad nebo Android, na další obrazovce se zobrazí QR kód, který je třeba naskenovat fotoaparátem zařízení. Pokud je vybrán bezpečnostní klíč, bude nutné jej vložit do USB portu počítače.GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (8) GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (9)
  6. Postupujte podle pokynů na základě zvolené metody. Po dokončení se objeví potvrzovací okno pro ověření, že autentizace FIDO byla úspěšně povolena.

ODSTRANĚNÍ ZAŘÍZENÍ MFA

Pokud již MFA není potřeba, lze MFA pro účet kdykoli deaktivovat.

Odebrání MFA prostřednictvím správy uživatelů

  1. Přihlaste se k administrátorskému účtu a zakažte MFA. Přejděte do sekce Údržba → Správa uživatelů a upravte příslušný účet.
  2. Zrušte zaškrtnutí políčka Multi-Factor Authentication.

GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (10)

Odebrání MFA prostřednictvím přihlašovací stránky

  1. Na přihlašovací stránce zadejte přihlašovací údaje účtu. Jakmile se zobrazí okno Multi-Factor Authentication, klikněte na odkaz Resetovat certifikaci pod tlačítkem Přihlásit.
  2. Na přidruženou e-mailovou adresu uživatele bude odeslán e-mail o odstranění MFA. V e-mailu klikněte na tlačítko Obnovit nyní pro potvrzení a zakázání MFA.
  3. Tento resetovací e-mail bude platný 10 minut a jeho platnost vyprší okamžitě poté, co na něj uživatel klikne.

PODPOROVANÁ ZAŘÍZENÍ
V následující tabulce jsou uvedeny všechny modely IP-PBX, které podporují funkci vícefaktorového ověřování:

GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (3) GRANDSTREAM-UCM63xx-series-IP-PBX-Multi-Factor-Authentication- (3)

Často kladené otázky

  • Otázka: Mohu s jedním účtem IP-PBX používat více virtuálních zařízení MFA?
    A: Ano, pro zvýšení zabezpečení lze s jedním účtem IP-PBX použít více virtuálních zařízení MFA.
  • Otázka: Je povinné používat MFA pro všechny účty v systému IP-PBX?
    A: Ne, MFA může být selektivně povolena pro každý účet super administrátorem a administrátorem, není to povinné pro všechny účty.

Dokumenty / zdroje

Vícefaktorové ověřování IP ústředny řady GRANDSTREAM UCM63xx [pdfUživatelská příručka
Řada UCM63xx, CloudUCM, SoftwareUCM, Řada GCC6000, Vícefaktorové ověřování IP-PBX řady UCM63xx, Řada UCM63xx, Vícefaktorové ověřování IP-PBX, Vícefaktorové ověřování, Faktorové ověřování

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *