Autentifikace
Chcete-li získat přístup k nastavení autentifikace, přejděte do části Administrace >> Nastavení >> Autentifikace.
Zde můžete nastavit následující možnosti:
- Autentifikace vyžadována – Pokud není vyžadována autentifikace, veřejné projekty a jejich obsah jsou veřejně přístupné na webu. Můžete upravit příslušná práva pro anonymní uživatele v části Administrace >> Role a práva.
- Automatické přihlašování – Kolik dní je uživatel přihlášen pomocí funkce automatického přihlášení.
- Povolena automatická registrace – Zde uživateli umožníte automatickou registraci a jakým způsobem bude probíhat.
- aktivace účtu emailem - Na registrovaný e-mail bude zaslán aktivační link.
- manuální aktivace účtu - Uživatele aktivuje správce manuálně. Registrovaní uživatelé mohou být filtrováni podle stavu "registrován".
- automatická aktivace účtu - Uživatel je aktivován prvním přihlášením do systému.
- Samostatně registrovaní uživatelé jsou automaticky přidáni do skupiny – Samostatně registrovaní uživatelé mohou být automaticky přidáni do vybrané skupiny.
- Minimální délka hesla – Zadejte požadovaný počet znaků.
- V zájmu ochrany vašich citlivých obchodních dat důrazně doporučujeme uživatelům, aby si své přihlašovací údaje (přihlašovací jméno a heslo) neukládali do svých webových prohlížečů. Pokud se webový prohlížeč zeptá, zda chcete uložit heslo, nedovolte mu to. V opačném případě vystavíte svůj uživatelský účet a všechny z něj přístupné informace vysokému riziku zneužití.
- Aplikační řešení ukládání hesel bohužel není možné, nakolik prohlížeče vší sílou obcházejí mechanizmy na prevenci aplikací na ukládání hesel, a nabízejí tuto možnost i přes jeji riziko.
- Vyžadované třídy znaků pro hesla – Vyberte velká písmena, malá písmena, číslice nebo speciální znaky. Pokud zadané heslo nesplňuje některé z těchto kritérií, zobrazí se chybová hláška.
- Počítadlo unikátních hesel – Po kolika změnách hesla může uživatel znovu nastavit poslední heslo.
- Vyžadovat změnu hesla po – Po kolika dnech bude uživatel systémem vyzván ke změně hesla. Zobrazení notifikace o expiraci hesla však lze v uživatelském profilu vypnout.
- Povolit resetování hesla prostřednictvím emailu – Zaškrtnutím povolíte odesílání odkazu pro obnovení hesla e-mailem.
- Dvoufaktorová autentifikace – Nastavení "zakázán" deaktivuje a odpáruje zařízení pro autentifikaci všech uživatelů. Nastavení "povinné" vynutí aktivaci dvoufaktorové autentifikace každému uživateli při nejbližším přihlášení. Nastavení "vynuceno pro administrátory" vynutí aktivaci dvoufaktorové autentifikace každému administrátorovi při nejbližším přihlášení. Nastavení "volitelné" umožní všem uživatelům povolit/zakázat dvoufaktorovou autentifikaci ve svém uživatelském profilu na základě vlastního rozhodnutí.
- Dvoufaktorová autentifikace (2FA), často také nazývaná dvoufázové ověření, je bezpečnostní postup, při kterém uživatel potvrzuje svou identitu zadáním dvou různých faktorů. Vedle 2FA ještě existuje jednofaktorová autentifikace (SFA - single-factor autentification) – během té se uživatel prokazuje pouze jedním bezpečnostním faktorem, zpravidla heslem.
- Pokud je způsob autentifikace 2FA povolen globálně, uživatelé mají ve svém profilu dostupnou volbu pro jeho aktivaci/deaktivaci, takže každý uživatel si pro svůj účet může zvolit vhodný způsob. Žádný uživatel nemá právo aktivovat způsob autentifiace přes 2FA jinému uživateli. Pouze administrátor má právo deaktivovat jej pro ostatní uživatele, ale nemůže jej aktivovat.
- Při aktivaci 2FA je potřeba načíst zobrazený QR kód nebo zadat text přímo do 2FA aplikace (např. Google Authenticator, Authy, Duo Mobile...). Zvolená aplikace by měla vygenerovat ověřovací klíč, který zadáte do formuláře v dalším kroku, tím se celý způsob 2FA aktivuje.
- Zapamatovat zařízení na X dní – Nežádat validaci druhým faktorem do zadaného počtu dní, pokud je zapamatováno zařízení uživatele.
- Validovat zapamatovaná zařízení – Zaškrtnutím tohoto políčka budete upozorněni, přihlašuje-li se uživatel z neznámého zařízení.
- Maximální životnost relace – Jak dlouho může být někdo přihlášen, než systém uživatele automaticky odhlásí.
- Čas vypršení relace – Jak dlouho může být někdo neaktivní, než systém uživatele automaticky odhlásí.
- Zobrazit přihlasování přes sociální sítě na přihlasovací stránce – Zaškrtnutím zobrazíte ikony.
- Počet neúspěšných přihlášení: Aktivovat funkci – Aktivací tohoto bezpečnostního prvku bude systém automaticky blokovat uživatelský účet po dosažení zvoleného počtu chybných pokusů o přihlášení.
- Blokovat uživatele po X pokusech – Zablokuje uživatele po uvedeném počtu nesprávných zadání hesla.
- V případě blokace účtu je na přihlašovací stránce uživateli zobrazena nadefinovaná hláška. Doporučujeme v hlášce uvést kontakt na správce aplikace nebo na oprávněný kontakt pro odblokování, aby uživatelé věděli, kam se mohou obrátit pro pomoc.
- Také je vhodné povolit zaslání upozornění správcům, odpovědným za správu uživatelských účtů, aby mohli případně sami kontaktovat daného uživatele a zjistit příčinu blokace.
- Manuální odblokování – správce aplikace může odblokovat uživ. účet přes jeho profil (pozor, nezaměňovat s formulářem pro editaci uživatele) a kliknutím na "odblokovat".
- Blokace versus uzamčení - tato funkce nemá nic společného s funkcí "Uzamčení uživatele", kterou lze využít pro úplné skrytí uživatele (například po odchodu zaměstnance z firmy). Blokovaní uživatelé mají své účty nadále aktivní, jenom se k aplikaci nemohou přihlásit (do odblokování).
Vynutit dvoufaktorovou autentifikaci pro skupiny uživatelů
Pro skupiny uživatelů je možné vynutit dvoufaktorovou autentifikaci. Pokud je uživatel členem takové skupiny (nebo je do ní přidán), bude při příštím přihlášení vynucena dvoufaktorová autentifikace. Pro aktivaci této funkce přejděte do Administrace >> Skupiny - vyberte skupinu - zaškrtněte "Vynutit dvoufaktorovou autentifikaci" a uložte.
Okrajové případy
- Otázka: Nastavil jsem si dvoufaktorovou autentifikaci. Ve svém účtu jsem povolil mód 2FA a zkusil použít aplikaci Google Authenticator. Ale nefungovalo mi ověření pomocí vygenerovaného kódu z aplikace. Vyzkoušel jsem také aplikaci Microsoft Authenticator, ale měl jsem stále stejný problém.
Odpověď: Problém byl způsoben na našem serveru, kde nebyl korektně synchronizován čas. Proto na našem serveru byl nastaven jiný čas než na mobilním telefonu (použitém pro verifikaci).