ManageEngine ได้ร่วมมือกับปัจจัยโทรศัพท์ผู้ให้บริการชั้นนำระดับโลกด้านการตรวจสอบสิทธิ์แบบสองปัจจัยผ่านโทรศัพท์ เพื่อให้สามารถรักษาความปลอดภัยแบบสองปัจจัยที่เรียบง่ายและมีประสิทธิภาพสำหรับ Password Manager Pro ManageEngine เป็นพันธมิตร PhoneFactor Alliance และนำเสนอการบูรณาการอย่างราบรื่นกับบริการตรวจสอบสิทธิ์ของ PhoneFactor
PhoneFactor ทำงานโดยการโทรยืนยันไปยังโทรศัพท์ของคุณในระหว่างกระบวนการเข้าสู่ระบบ เมื่อเสร็จสิ้นการตรวจสอบสิทธิ์ครั้งแรกด้วยวิธีปกติ และเมื่อคุณไปยังขั้นตอนการตรวจสอบสิทธิ์ครั้งที่สอง คุณเพียงแค่ต้องรับโทรศัพท์ของคุณแล้วกด # (หรือป้อน PIN) ซึ่งทำหน้าที่เป็นการตรวจสอบสิทธิ์ผ่านโทรศัพท์
ต่อไปนี้เป็นลำดับของเหตุการณ์ที่เกี่ยวข้องกับ PhoneFactor Authentication:
- ผู้ใช้พยายามเข้าถึงเว็บอินเทอร์เฟซของ Password Manager Pro
- Password Manager Pro ตรวจสอบสิทธิ์ผู้ใช้ผ่าน Active Directory หรือ LDAP หรือภายในเครื่อง
- Password Manager Pro แจ้งให้ระบุข้อมูลรับรองปัจจัยที่สองผ่าน PhoneFactor
- PhoneFactor โทรหาคุณ รับสายแล้วกด # (หรือใส่ PIN)
- Password Manager Pro ให้สิทธิ์ผู้ใช้ในการเข้าถึงเว็บอินเตอร์เฟส
1. การเปิดใช้งานการตรวจสอบสิทธิ์ PhoneFactor
ข้อกำหนดเบื้องต้น
ก่อนที่จะเปิดใช้งานการรับรองความถูกต้อง PhoneFactor คุณต้องซื้อ PhoneFactor อ้างถึงเว็บไซต์ PhoneFactorเพื่อดูรายละเอียด หลังจากได้รับ PhoneFactor แล้ว คุณต้องตัดสินใจเกี่ยวกับวิธีการตรวจสอบสิทธิ์เฉพาะ ไม่ว่าคุณต้องการติดตั้ง PhoneFactor agent ในสภาพแวดล้อมของคุณ หรือปรับใช้ PhoneFactor Direct SDK
2. PhoneFactor ทำงานอย่างไรกับ Password Manager Pro?
คุณจะระบุหมายเลขโทรศัพท์สำหรับผู้ใช้ของคุณ ซึ่งส่งผลให้เกิดการจับคู่ระหว่างผู้ใช้และหมายเลขโทรศัพท์ที่เกี่ยวข้อง ในโหมดตัวแทน PhoneFactor รายละเอียดเกี่ยวกับผู้ใช้ รวมถึงหมายเลขโทรศัพท์จะยังคงอยู่ที่ตัวแทน ในโหมด Direct SDK หมายเลขโทรศัพท์จะถูกเก็บรักษาไว้ในฐานข้อมูล Password Manager Pro เมื่อผู้ใช้พยายามเข้าสู่ระบบ Password Manager Pro PhoneFactor จะค้นหาหมายเลขโทรศัพท์ของผู้ใช้ที่เกี่ยวข้องและทริกเกอร์การโทร
หากต้องการเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยโดยใช้ PhoneFactor คุณต้องทำตามขั้นตอนที่มีรายละเอียดด้านล่าง:
สรุปขั้นตอน
- ตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัยใน Password Manager Pro
- การตัดสินใจประเภทของการรับรองความถูกต้อง PhoneFactor และการกำหนดค่าที่เกี่ยวข้อง
- การบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ที่จำเป็นใน Password Manager Pro
ขั้นตอนที่ 1: ตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัยใน Password Manager Pro
ขั้นตอนแรกคือการเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย เพื่อทำเช่นนั้น
- นำทางไปยังผู้ดูแลระบบ >> การรับรองความถูกต้อง >> การรับรองความถูกต้องแบบสองปัจจัย.
- เลือกตัวเลือกปัจจัยโทรศัพท์.
- คลิก "บันทึก".
บันทึก:ก่อนดำเนินการต่อ ตรวจสอบให้แน่ใจว่าคุณได้ป้อนหมายเลขโทรศัพท์สำหรับผู้ใช้ทั้งหมดที่คุณต้องการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยผ่าน PhoneFactor ใน Password Manager Pro คุณสามารถป้อนหมายเลขโทรศัพท์บ้านหรือหมายเลขโทรศัพท์มือถือเป็นหมายเลขติดต่อหลักสำหรับการตรวจสอบสิทธิ์ PhoneFactor
ควรป้อนหมายเลขโทรศัพท์พื้นฐานในรูปแบบต่อไปนี้:
<รหัสประเทศ> <หมายเลขโทรศัพท์พร้อมรหัสพื้นที่> <หมายเลขส่วนขยาย ถ้ามี>
ตัวอย่าง:1 9259249500 292
ควรป้อนหมายเลขโทรศัพท์มือถือในรูปแบบต่อไปนี้:
<รหัสประเทศ> <หมายเลขโทรศัพท์มือถือ>
ขั้นตอนที่ 2: เลือกวิธีการรับรองความถูกต้อง
คุณสามารถเลือกปรับใช้ PhoneFactor Agent หรือ PhoneFactor Direct SDK ได้
ตัวแทน PhoneFactor
PhoneFactor agent ทำงานบนเซิร์ฟเวอร์ Windows ภายในเครือข่ายของคุณ ประกอบด้วยวิซาร์ดการกำหนดค่าที่จะแนะนำคุณตลอดขั้นตอนการตั้งค่าสำหรับการรักษาความปลอดภัย Password Manager Pro ด้วย PhoneFactor เอเจนต์ PhoneFactor ยังสามารถทำงานร่วมกับ Active Directory หรือเซิร์ฟเวอร์ LDAP ที่มีอยู่ของคุณเพื่อการจัดเตรียมและการจัดการผู้ใช้แบบรวมศูนย์ ข้อมูลผู้ใช้ทั้งหมดจะถูกจัดเก็บไว้ในเครือข่ายองค์กรเพื่อความปลอดภัยเพิ่มเติม มีการบันทึกที่ครอบคลุมสำหรับการรายงานและตรวจสอบ
SDK โดยตรง
แทนที่จะใช้ Agent คุณยังสามารถใช้ PhoneFactor Direct SDK ซึ่งสามารถใช้เพื่อผสานรวมกับ Password Manager Pro และใช้ประโยชน์จากฐานข้อมูลผู้ใช้ที่มีอยู่ของ Password Manager Pro
บันทึก:ในบรรดาตัวเลือกข้างต้น ตัวแทน PhoneFactor รองรับการป้อน PIN สำหรับการตรวจสอบสิทธิ์ขณะรับสายจาก PhoneFactor ในโหมด Direct SDK ผู้ใช้จะได้รับแจ้งให้ป้อนรหัส # ไม่ใช่ PIN
หากคุณเลือกที่จะปรับใช้ตัวแทน PhoneFactor
(บันทึก:หากคุณได้ติดตั้งตัวแทน PhoneFactor แล้ว คุณสามารถข้ามขั้นตอนที่ 1 ด้านล่างและดำเนินการต่อไปยังขั้นตอนที่ 2 ได้โดยตรง)
รับและติดตั้งตัวแทน PhoneFactorและ Web Services SDK บนเซิร์ฟเวอร์ Windows ภายในเครือข่ายของคุณ ตัวช่วยสร้างจะแนะนำคุณตลอดกระบวนการติดตั้ง
ขั้นตอนที่ 1: การกำหนดค่าในตัวแทน PhoneFactor
- เนื่องจากหมายเลขโทรศัพท์ของผู้ใช้ถูกเก็บรักษาไว้ในตัวแทน PhoneFactor หลังจากติดตั้งแล้ว คุณจะต้องเพิ่มผู้ใช้ Password Manager Pro ทั้งหมด (ซึ่งเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยผ่าน PhoneFactor ใน Password Manager Pro) ในตัวแทนและป้อน หมายเลขโทรศัพท์ของพวกเขาด้วย คุณยังสามารถรวม Active Directory / LDAP เข้ากับตัวแทน PhoneFactor และนำเข้าผู้ใช้โดยอัตโนมัติ หากคุณมีผู้ใช้ที่ตรวจสอบสิทธิ์ผ่านการตรวจสอบสิทธิ์ในเครื่องของ Password Manager Pro ให้เพิ่มผู้ใช้เหล่านั้นใน PhoneFactor ด้วยตนเองโดยให้รายละเอียดเกี่ยวกับหมายเลขโทรศัพท์
- ในขณะที่เพิ่มผู้ใช้ในตัวแทน PhoneFactor โปรดระบุชื่อผู้ใช้เดียวกันกับที่มีอยู่ใน Password Manager Pro (ใน Password Manager Pro คุณจะต้องระบุ 'ชื่อผู้ใช้ PhoneFactor' สำหรับผู้ใช้ที่จะได้รับการรับรองความถูกต้องโดย PhoneFactor โปรดป้อนชื่อผู้ใช้เดียวกันที่นี่ในการกำหนดค่าตัวแทน PhoneFactor)
- หลังจากนำเข้าผู้ใช้แล้ว ให้ตรวจสอบว่าได้ป้อนหมายเลขโทรศัพท์ในรูปแบบที่ถูกต้องหรือไม่
โน๊ตสำคัญ:ข้อมูลผู้ใช้และหมายเลขโทรศัพท์ของพวกเขาจะถูกเก็บรักษาไว้ในตัวแทน PhoneFactor นั่นหมายความว่าผู้ใช้จะรับสายเฉพาะหมายเลขโทรศัพท์ที่ระบุในตัวแทนเท่านั้น เมื่อใดก็ตามที่คุณต้องการแก้ไขหมายเลขโทรศัพท์ คุณต้องดำเนินการเปลี่ยนแปลงกับตัวแทน ในทำนองเดียวกัน เมื่อใดก็ตามที่คุณเพิ่มผู้ใช้ใหม่ใน Password Manager Pro และหากเปิดใช้งาน TFA ผ่าน PhoneFactor ไว้ คุณจะต้องเพิ่มผู้ใช้ในตัวแทน PhoneFactor ด้วย มิฉะนั้น TFA ผ่าน PhoneFactor จะไม่ทำงาน
ขั้นตอนที่ 2: การกำหนดค่าใน Password Manager Pro
- ใน GUI การตรวจสอบสิทธิ์แบบสองปัจจัยใน Password Manager Pro ให้เลือกวิธีการตรวจสอบสิทธิ์เป็น "PhoneFactor Agent"
- ป้อนข้อมูลรับรองเพื่อเข้าถึง PhoneFactor คุณต้องป้อนชื่อผู้ใช้ รหัสผ่าน และ URL ของโฮสต์ที่ตัวแทน PhoneFactor กำลังทำงานอยู่
- การสื่อสารระหว่าง Password Manager Pro และโฮสต์ที่ตัวแทน PhoneFactor ทำงานอยู่เกิดขึ้นผ่าน SSL ดังนั้น คุณต้องนำเข้า (ไปยัง Password Manager Pro) ใบรับรอง SSL ที่คุณระบุไว้ขณะติดตั้ง Web Services SDK
ขณะติดตั้ง PhoneFactor agent/ Web Services SDK คุณจะต้องสร้างใบรับรอง SSL ที่ลงนามด้วยตนเอง หรือคุณจะใช้ใบรับรองภายในที่มีอยู่แล้ว (ใบรับรองของคุณเอง) ที่นี่ใน Password Manager Pro คุณต้องนำเข้ารูทของ CAหากคุณใช้ใบรับรองที่ลงนามโดย CA บุคคลที่สาม คุณสามารถข้ามขั้นตอนนี้ได้
หากต้องการนำเข้ารูทของ CA
- นำทางไปยัง"PMP_Installation_Folder>/bin"ไดเรกทอรี
- ดำเนินการimportPhoneFactorCert.bat(ใน Windows) หรือimportPhoneFactorCert.sh(ในลินุกซ์)ดังต่อไปนี้:
- รีสตาร์ทเซิร์ฟเวอร์ Prov ตัวจัดการรหัสผ่าน
- เมื่อคุณดำเนินการข้างต้น รากของ CA จะถูกบันทึกใน Password Manager Pro ต่อจากนี้ไปใบรับรองทั้งหมดที่ลงนามโดย CA เฉพาะจะถูกนำมาใช้โดยอัตโนมัติ
- ดำเนินการต่อไปยังขั้นตอนที่ 3 - การบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ที่จำเป็นใน Password Manager Pro
(ในวินโดวส์)
ในกรณีใบรับรองที่ลงนามด้วยตนเอง
importPhoneFactorCert.bat <เส้นทางสัมบูรณ์ของใบรับรองที่ลงนามด้วยตนเอง>
ในกรณีของใบรับรองของคุณเองหรือ CA ภายในที่มีอยู่แล้ว
importPhoneFactorCert.bat <เส้นทางสัมบูรณ์ของรากของ CA>
(ในลินุกซ์)
ในกรณีใบรับรองที่ลงนามด้วยตนเอง
sh importPhoneFactorCert.sh <เส้นทางสัมบูรณ์ของใบรับรองที่ลงนามด้วยตนเอง>
ในกรณีของใบรับรองของคุณเองหรือ CA ภายในที่มีอยู่แล้ว
sh importPhoneFactorCert.sh <เส้นทางสัมบูรณ์ของรากของ CA>
บันทึก:หากการตั้งค่าเครือข่ายองค์กรของคุณต้องการการเชื่อมต่ออินเทอร์เน็ตผ่านพร็อกซีเซิร์ฟเวอร์ คุณต้องกำหนดการตั้งค่าพร็อกซีเพื่อเปิดใช้งาน Password Manager Pro เชื่อมต่อกับเว็บไซต์ PhoneFactor (PMP GUI >> ผู้ดูแลระบบ >> ทั่วไป >> การตั้งค่าพร็อกซีเซิร์ฟเวอร์)
หากคุณได้กำหนดค่าความพร้อมใช้งานสูงของ Password Manager Pro: การกำหนดค่าใน Password Manager Pro รอง (โหมดตัวแทน PhoneFactor)
หากคุณได้กำหนดค่าความพร้อมใช้งานสูงใน Password Manager Pro และหากคุณเลือกที่จะปรับใช้ PhoneFactor Agent คุณจะต้องดำเนินการกำหนดค่าต่อไปนี้ในเซิร์ฟเวอร์รองของ Password Manager Pro เช่นเดียวกับคุณนำเข้ารูทของ CA ตามที่อธิบายไว้ข้างต้นคุณต้องทำเช่นเดียวกันใน Password Manager Pro ตัวรองหากคุณใช้ใบรับรองที่ลงนามโดย CA บุคคลที่สาม คุณสามารถข้ามขั้นตอนนี้ได้
หากคุณเลือกที่จะปรับใช้ PhoneFactor Direct SDK:
ขั้นตอนที่ 1: การกำหนดค่าใน SDK
ขวด PhoneFactor มาพร้อมกับ Password Manager Pro ดังนั้นจึงเพียงพอแล้วหากคุณซื้อ PhoneFactor และระบุรายละเอียดใบอนุญาตตามที่อธิบายไว้ในขั้นตอนที่ 2 ด้านล่าง
ขั้นตอนที่ 2: การกำหนดค่าใน Password Manager Pro GUI
- ตรวจสอบผู้ใช้ Password Manager Pro และให้แน่ใจว่าคุณได้ป้อนหมายเลขโทรศัพท์สำหรับผู้ใช้ทั้งหมดที่คุณต้องการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยผ่าน PhoneFactor ใน Password Manager Pro ควรป้อนหมายเลขโทรศัพท์ในรูปแบบที่ถูกต้อง ตรงกันข้ามกับตัวแทน PhoneFactor อย่างชัดเจนซึ่งหมายเลขโทรศัพท์ของผู้ใช้จะถูกบันทึกและรักษาไว้ที่ตัวแทน ในกรณีของ Direct SDK หมายเลขโทรศัพท์จะถูกเก็บรักษาไว้ที่ Password Manager Pro เอง
- ใน PhoneFactor GUI คุณต้องระบุเส้นทางของไฟล์ลิขสิทธิ์ PhoneFactor, ใบรับรอง PhoneFactor และรหัสผ่านคีย์ส่วนตัว (ไฟล์เหล่านี้จะอยู่ภายใต้โฟลเดอร์ PhoneFactor SDK)
- ดำเนินการต่อไปยังขั้นตอนที่ 3 - การบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ที่จำเป็นใน Password Manager Pro
บันทึก:หากการตั้งค่าเครือข่ายองค์กรของคุณต้องการการเชื่อมต่ออินเทอร์เน็ตผ่านพร็อกซีเซิร์ฟเวอร์ คุณต้องกำหนดการตั้งค่าพร็อกซีเพื่อเปิดใช้งาน Password Manager Pro เชื่อมต่อกับเว็บไซต์ PhoneFactor (PMP GUI >> ผู้ดูแลระบบ >> ทั่วไป >> การตั้งค่าพร็อกซีเซิร์ฟเวอร์)
หากคุณได้กำหนดค่าความพร้อมใช้งานสูงของ Password Manager Pro แล้ว: การกำหนดค่าใน Password Manager Pro รอง (โหมด PhoneFactor Direct SDK)
หากคุณได้กำหนดค่าความพร้อมใช้งานสูงใน Password Manager Pro และหากคุณเลือกโหมด PhoneFactor Direct SDK คุณจะต้องดำเนินการกำหนดค่าต่อไปนี้ในเซิร์ฟเวอร์รองของ Password Manager Pro
- ไปที่
/โฟลเดอร์ใบอนุญาต - คัดลอกไฟล์ใบอนุญาต.xmlและใบรับรอง p12
- ตอนนี้ไป
/โฟลเดอร์ใบอนุญาต - วางสองไฟล์นี้
ขั้นตอนที่ 3: การบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ที่จำเป็น
- เมื่อคุณยืนยัน PhoneFactor เป็นปัจจัยที่สองของการตรวจสอบสิทธิ์ในขั้นตอนก่อนหน้า หน้าต่างใหม่จะแจ้งให้คุณเลือกผู้ใช้ที่ควรบังคับใช้การตรวจสอบสิทธิ์แบบสองปัจจัย
- คุณสามารถเปิดหรือปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้รายเดียวหรือผู้ใช้หลายรายพร้อมกันได้จากที่นี่ หากต้องการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้รายเดียว ให้คลิกที่ปุ่ม "เปิดใช้งาน" ข้างชื่อผู้ใช้ที่เกี่ยวข้อง สำหรับผู้ใช้หลายราย ให้เลือกชื่อผู้ใช้ที่ต้องการและคลิกที่ 'เปิดใช้งาน' ที่ด้านบนของรายการผู้ใช้ ในทำนองเดียวกัน คุณยังสามารถ 'ปิดการใช้งาน' การรับรองความถูกต้องด้วยสองปัจจัยจากที่นี่
- คุณยังสามารถเลือกผู้ใช้ในภายหลังได้โดยไปที่ผู้ใช้ >> การดำเนินการเพิ่มเติม >> การตรวจสอบสิทธิ์แบบสองปัจจัย
จะเชื่อมต่อกับ Password Manager Pro Web-Interface ได้อย่างไรเมื่อเปิดใช้งาน TFA ผ่าน PhoneFactor
ผู้ใช้ที่เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยจะต้องตรวจสอบความถูกต้องสองครั้งติดต่อกัน ตามที่อธิบายไว้ข้างต้น การรับรองความถูกต้องระดับแรกจะต้องผ่านการรับรองความถูกต้องตามปกติ นั่นคือ ผู้ใช้จะต้องตรวจสอบสิทธิ์ผ่านการตรวจสอบภายในเครื่องของ Password Manager Pro หรือการตรวจสอบสิทธิ์ AD/LDAP
เมื่อเปิดใช้งาน TFA หน้าจอเข้าสู่ระบบจะถามชื่อผู้ใช้เพียงอย่างเดียวใน UI แรก ผู้ใช้จะได้รับแจ้งให้ป้อนรหัสผ่านในขั้นตอนที่สองเท่านั้น
TFA โดยใช้ PhoneFactor - เวิร์กโฟลว์
หากผู้ดูแลระบบเลือก TFA ผ่าน PhoneFactor การตรวจสอบสิทธิ์แบบสองปัจจัยจะเกิดขึ้นตามรายละเอียดด้านล่าง:
- เมื่อเปิดตัวเว็บอินเทอร์เฟซ Password Manager Pro ผู้ใช้จะต้องป้อนชื่อผู้ใช้เพื่อเข้าสู่ระบบ Password Manager Pro และคลิก "เข้าสู่ระบบ"
- ตรงข้ามช่องข้อความ "รหัสผ่าน" ผู้ใช้ต้องป้อนรหัสผ่านการตรวจสอบสิทธิ์ในเครื่องหรือรหัสผ่าน AD/LDAP ตามความเหมาะสม
- เมื่อการรับรองความถูกต้องผ่านปัจจัยแรกสำเร็จ คุณจะต้องรอสายจาก PhoneFactor ไปยังโทรศัพท์ของคุณ
- รับสายแล้วกดปุ่ม # หรือป้อน PIN ตามคำแนะนำ PhoneFactor จะดูแลการตรวจสอบสิทธิ์
หากคุณได้กำหนดค่าความพร้อมใช้งานสูงไว้
เมื่อใดก็ตามที่คุณเปิดใช้งาน TFA หรือเมื่อคุณเปลี่ยนประเภท TFA (PhoneFactor หรือ RSA SecurID หรือรหัสผ่านแบบครั้งเดียว)และหากคุณได้กำหนดค่าความพร้อมใช้งานสูงไว้ คุณจะต้องรีสตาร์ทเซิร์ฟเวอร์สำรอง Password Manager Pro อีกครั้ง