Аутентификация администраторов

Эта статья описывает различные методы аутентификации, которые вы можете определить для администраторов для входа в Приложение Управления Cato (CMA). Чтобы узнать больше об администраторах, см. Что такое Администраторы и Управление доступом на основе ролей (RBAC).

Обзор

Чтобы лучшие соответствовать требованиям вашей организации, вы можете определить методы аутентификации для CMA, используя следующие методы:

SSO - Аутентификация с использованием поставщика Single-Sign On (SSO), который настроен для аккаунта в Доступ > Single-Sign On
Данные Cato - Вход с использованием имени пользователя (эл. почта администратора) и пароля, которые вы настраиваете в CMA
MFA - При использовании данных Cato, вы также можете требовать от администраторов использования многофакторной аутентификации (MFA) через приложение аутентификации. Эта опция включена по умолчанию для новых администраторов и всегда включена для администраторов в учетных записях, созданных после 10 декабря 2023 года.

Мы рекомендуем использовать аутентификацию MFA или SSO для учетных записей admin CMA, чтобы обеспечить безопасный доступ и предотвратить захват учетных записей и возможные компромиссы.

Настройка методов аутентификации CMA

Вы определяете, какой или какие методы могут использовать администраторы Приложения Управления Cato для входа в систему. Эти настройки применяются ко всем администраторам в аккаунте.

Следующие инструменты поддерживаются для SSO с админами CMA:

Убедитесь, что электронная почта каждого администратора CMA совпадает с адресом электронной почты их соответствующего пользователя у поставщика SSO.

Чтобы настроить методы аутентификации для администраторов Приложения Управления Cato:

Для разрешения администраторам аутентификации с использованием единого входа:
1. Следуйте процедуре для вашего поставщика SSO (ссылки выше).
3. В меню навигации нажмите Доступ > Единый вход.
4. В разделе Администраторы приложения управления Cato выберите Разрешить вход с использованием Единого входа.
5. Нажмите Сохранить.
Чтобы разрешить администраторам аутентификацию с использованием имени пользователя и пароля:
1. В меню навигации выберите Аккаунт > Ограничения входа.
2. В разделе Метод аутентификации для приложения управления Cato выберите Разрешить вход с использованием учетных данных пользователя Cato.
3. Нажмите Сохранить.

Использование многофакторной аутентификации (MFA) для администраторов

Для дополнительной Безопасности вы можете настроить Администраторов для использования многофакторной Аутентификации (MFA) при входе в CMA. MFA использует Приложение аутентификации (например, Google Authenticator) для генерации безопасных одноразовых паролей (OTP), которые Администратор вводит как часть процесса входа. В противном случае администратор не может пройти аутентификацию и войти в Приложение Управления Cato.

Примечание

Примечания:

MFA поддерживается только для учетных данных пользователя Cato. Когда администраторы входят с использованием единого входа, вы не можете требовать ввода кода MFA.
Для Учетных записей, созданных после 10 декабря 2023 года, MFA всегда включена для Администраторов, которые используют аутентификацию с использованием учетных данных пользователя Cato.

Отключение многофакторной аутентификации для администратора

Для учетных записей, поддерживающих отключение MFA, после создания администратора MFA по умолчанию включена для этого администратора. Если MFA включена, при первом входе администратора в Приложение Управления Cato он перенаправляется на веб-страницу с QR-кодом. Администратор использует приложение аутентификации для сканирования QR-кода, и MFA Приложения Управления Cato добавляется в приложение аутентификации.

Чтобы включить MFA для администратора:

В меню навигации нажмите Аккаунт > Администраторы.
Выберите администратора.
В разделе Данные входа выберите MFA включена.
Нажмите Сохранить.

Сброс многофакторной аутентификации

Вы можете сбросить разрешения MFA для администратора. После сброса разрешений MFA администратор не сможет использовать текущее приложение аутентификации для входа в CMA. При следующем входе администратора в CMA он будет перенаправлен на веб-страницу с QR-кодом. Администратор использует приложение аутентификации для сканирования QR-кода, и MFA CMA добавляется в приложение аутентификации.

Чтобы сбросить разрешения MFA для администратора:

Из меню навигации нажмите Аккаунт > Администраторы.
Выберите одного или нескольких администраторов.
В выпадающем меню Действия выберите Сброс MFA.
В окне подтверждения нажмите ОК. Администратору отправляется уведомление по электронной почте.

Управление паролями администраторов

По умолчанию, администраторы должны менять свои пароли для CMA каждые 90 дней и получают уведомления по электронной почте за 14 дней и 3 дня до даты истечения срока действия пароля. Когда вы включаете опцию Пароль никогда не истекает для администратора, он никогда не обязан менять свой пароль.

Установка срока действия пароля администратора

Используйте настройку Срок действия пароля на экране Ограничения входа, чтобы определить, как долго пароль CMA будет действителен, прежде чем администратору потребуется его изменить. Пароль может быть действителен от 14 до 730 дней.

Эта настройка не применяется, когда опция Пароль никогда не истекает включена для администратора.

Чтобы установить срок действия пароля для администратора:

Из навигационного меню выберите Аккаунт > Ограничения входа.
В разделе Срок действия пароля введите, на сколько дней пароль будет действителен.
Нажмите Сохранить.

Сброс пароля администратора

Если администратор заблокирован из аккаунта, используйте опцию Сброс паролей, чтобы дать ему возможность войти снова.

Чтобы сбросить пароль администратора:

Из навигационного меню щелкните Аккаунт > Администраторы.
Выберите одного или нескольких администраторов.
Нажмите Действия, а затем в раскрывающемся меню выберите Сбросить пароль.
В окне подтверждения нажмите ОК.

Администратор получает электронное письмо с ссылкой для изменения пароля.
В письме администратор может нажать на ссылку здесь, чтобы перейти в окно Изменение пароля.

Если администратор получает это письмо, но не инициировал запрос, нажмите на ссылку Это был не я.

Настройка ограничений на вход для администраторов

Вы можете требовать, чтобы все администраторы входили только с определенных IP-адресов.

Для учетных записей, использующих исходящие IP-адреса (NATed IPs), вы можете позволить администраторам входить с этих IP-адресов.

Для получения дополнительной информации о настройках входа для администраторов, см. Аутентификация администраторов.

Чтобы настроить ограничения на вход для администраторов:

Из навигационного меню выберите Аккаунт > Ограничения входа.
Чтобы разрешить администраторам входить в CMA только с определенных IP-адресов:
1. В разделе Ограничения Входа для Приложения Управления Cato, в Разрешенные IP-адреса для входа, введите IP-адрес для разрешения.
2. Нажмите значок добавления.
  
  IP-адрес добавлен в список разрешенных IP-адресов для входа.
3. Чтобы удалить разрешенный IP-адрес, выберите IP-адрес и затем нажмите значок удаления.
(По желанию) Чтобы разрешить администраторам входить из транслированного IP, выберите Также разрешить вход с IP-адресов за NAT.
Нажмите Сохранить.

Понимание безопасного входа с CAPTCHA

Для повышения безопасности учетной записи, аутентификационный процесс для CMA включает защиту CAPTCHA. Защита CAPTCHA невидима для администратора и работает в фоновом режиме, чтобы предотвратить несанкционированный доступ ботами. Это обеспечивает более безопасный опыт без нарушения обычного процесса входа. В редких случаях администраторам может быть предложено повторно ввести свои учетные данные, чтобы подтвердить, что они человек, и завершить вход. Защита CAPTCHA не актуальна для администраторов, использующих аутентификацию SSO.