Аутентификация администраторов

Эта статья описывает различные методы аутентификации, которые вы можете определить для администраторов для входа в Приложение Управления Cato (CMA). Чтобы узнать больше об администраторах, см. Что такое Администраторы и Управление ролями и доступом (RBAC).

Обзор

Чтобы наилучшим образом удовлетворять требованиям вашей организации, вы можете определить методы аутентификации для CMA, используя следующие методы:

SSO (рекомендуется) - Аутентификация с помощью провайдера Single-Sign On (SSO), настроенного для учетной записи в Доступ > Single-Sign On
Учетные данные Cato - Войдите с использованием имени пользователя (администратора email) и пароля, которые вы настроили в CMA
MFA - При использовании учетных данных Cato, администраторы используют многофакторную аутентификацию (MFA) с приложением аутентификации. Этот параметр включен по умолчанию для новых администраторов и всегда включен для администраторов в учетных записях, созданных после 10 декабря 2023 года.

Настройка методов аутентификации CMA

Вы определяете, какой или какие методы могут использовать администраторы Приложения Управления Cato для входа в систему. Эти настройки применяются ко всем администраторам в аккаунте.

Следующие инструменты поддерживаются для SSO с админами CMA:

Убедитесь, что ваш инструмент добавил в список разрешённых требуемые IP-адреса. Для получения подробной информации см. Список разрешённых IP-адресов CMA. Электронная почта для каждого администратора CMA должна совпадать с адресом электронной почты их соответствующего пользователя в поставщике SSO.

Для настройки методов аутентификации для администраторов CMA:

Чтобы разрешить администраторам аутентификацию с SSO:
1. Следуйте процедуре для вашего провайдера SSO (ссылки выше).
2. Из меню навигации нажмите Доступ > Single Sign-On.
3. В разделе Администраторы приложения управления Cato выберите Разрешить вход с использованием Единого входа.
4. Нажмите Сохранить.
Чтобы разрешить администраторам аутентификацию с именем пользователя и паролем:
1. Из меню навигации выберите Учетная запись > Ограничения входа.
2. В разделе Метод аутентификации для приложения управления Cato выберите Разрешить вход с использованием учетных данных пользователя Cato.
3. Нажмите Сохранить.

Использование многофакторной аутентификации (MFA) для администраторов

Для дополнительной Безопасности вы можете настроить Администраторов для использования многофакторной Аутентификации (MFA) при входе в CMA. MFA использует Приложение аутентификации (например, Google Authenticator) для генерации безопасных одноразовых паролей (OTP), которые Администратор вводит как часть процесса входа. В противном случае администратор не может пройти аутентификацию и войти в Приложение Управления Cato.

Примечание

Примечания:

MFA поддерживается только для учетных данных пользователя Cato. Когда администраторы входят с SSO, вы не можете потребовать от них ввод кода MFA.
Для учетных записей, созданных после 10 декабря 2023 года, MFA всегда включена для администраторов, использующих аутентификацию учетными данными пользователя Cato.

Отключение многофакторной аутентификации для администратора

Для учетных записей, которые поддерживают отключение MFA, после создания администратора, MFA включена по умолчанию для этого администратора. Если MFA включена, при первом входе администратора в Приложение Управления Cato он перенаправляется на веб-страницу с QR-кодом. Администратор использует приложение аутентификации для сканирования QR-кода, и MFA для CMA добавляется в приложение аутентификации.

Чтобы включить MFA для администратора:

Из меню навигации нажмите Учетная запись > Администраторы.
Выберите администратора.
В разделе Данные входа выберите MFA включена.
Нажмите Сохранить.

Сброс многофакторной аутентификации

Вы можете сбросить разрешения MFA для администратора. После сброса разрешений MFA администратор не сможет использовать текущее приложение аутентификации для входа в CMA. При следующем входе администратора в CMA он будет перенаправлен на веб-страницу с QR-кодом. Администратор использует приложение аутентификации для сканирования QR-кода, и MFA Приложения Управления Cato добавляется в приложение аутентификации.

Чтобы сбросить разрешения MFA для администратора:

Из меню навигации нажмите Учетная запись > Администраторы.
Выберите одного или более администраторов.
В выпадающем меню Действия выберите Сброс MFA.
В окне подтверждения нажмите ОК. Уведомление по электронной почте отправляется администратору.

Управление паролями администраторов

По умолчанию администраторы обязаны менять свои пароли для CMA каждые 90 дней и получают уведомления по электронной почте за 14 дней и за 3 дня до даты истечения пароля. Если для администратора включен параметр Пароль никогда не истекает, от него никогда не потребуется менять свой пароль.

Пароли администратора должны содержать одну строчную букву, одну заглавную букву, одну цифру, один специальный символ и должны быть длиной от 8 до 32 символов. Кроме того, пароли администратора не должны содержать адрес электронной почты или быть в нашем списке распространённых паролей (например, "Password1!").

Установка срока действия пароля администратора

Используйте настройку Срок действия пароля на экране Ограничения входа, чтобы определить, как долго пароль CMA будет действителен, прежде чем администратору потребуется его изменить. Пароль может быть действителен от 14 до 730 дней.

Эта настройка не применяется, когда опция Пароль никогда не истекает включена для администратора.

Чтобы установить срок действия пароля для администратора:

Из меню навигации выберите Учетная запись > Ограничения входа.
В разделе Срок действия пароля введите, сколько дней пароль будет действителен.
Нажмите Сохранить.

Сброс пароля администратора

Если администратор заблокирован из аккаунта, используйте опцию Сброс паролей, чтобы дать ему возможность войти снова.

Чтобы сбросить пароль администратора:

Из меню навигации нажмите Учетная запись > Администраторы.
Выберите одного или более администраторов.
Нажмите Действия, затем в выпадающем меню выберите Сбросить пароль.
В окне подтверждения нажмите ОК.

Администратор получает электронное письмо с ссылкой для изменения пароля.
В письме администратор может нажать на ссылку здесь, чтобы перейти в окно Изменение пароля.

Если администратор получает это письмо, но не инициировал запрос, нажмите на ссылку Это был не я.

Настройка ограничений на вход для администраторов

Вы можете требовать, чтобы все администраторы входили только с определенных IP-адресов.

Для учетных записей, использующих исходящие IP-адреса (NATed IPs), вы можете позволить администраторам входить с этих IP-адресов. Если вы отмечаете флажок Также разрешить вход с NAT-IP, вы должны указать IP-адреса в разделе Разрешенные IP-адреса для входа. В противном случае администраторы смогут получить доступ к CMA с любого IP.

Для настройки ограничений входа для администраторов:

Из меню навигации выберите Учетная запись > Ограничения входа.
Чтобы разрешить администраторам вход в CMA только с определённых IP-адресов:
1. В разделе Ограничения Входа для Приложения Управления Cato, в Разрешенные IP-адреса для входа, введите IP-адрес для разрешения.
2. Нажмите значок добавления.
  
  IP-адрес добавлен в список разрешенных IP-адресов для входа.
3. Чтобы удалить разрешённый IP-адрес, выберите IP-адрес и затем нажмите значок удаления.
(Необязательно) Чтобы разрешить администраторам вход с транслированного IP, выберите Также разрешить вход с IP-адресов за NAT.
Нажмите Сохранить.

Понимание безопасного входа с CAPTCHA

Чтобы повысить безопасность учетной записи, поток аутентификации администратора для CMA включает защиту CAPTCHA. Защита CAPTCHA невидима для администратора и работает в фоновом режиме для предотвращения несанкционированного доступа ботами. Это обеспечивает более безопасный опыт без нарушения обычного процесса входа. В редких случаях администраторов могут попросить повторно ввести свои учетные данные, чтобы доказать, что они - человек, и завершить вход. Защита CAPTCHA не касается администраторов, аутентифицированных с помощью SSO.