Как подключить вход через TOTP в КриптоАРМ ID#

📋 Эта инструкция входит в серию статей по настройке способов входа. Подробнее читайте в инструкции Способы входа и настройка виджета.

В этом руководстве вы узнаете, как подключить аутентификацию по одноразовым паролям TOTP к системе КриптоАРМ ID.

Кому подходит эта инструкция:

• Администраторам — для настройки метода входа в системе.
• Пользователям — для привязки TOTP к своему профилю.

Настройка входа через TOTP состоит из нескольких ключевых этапов:

• Настройка аутентификации для администраторов
• Привязка TOTP для пользователей

Общая информация#

TOTP (Time-based One-Time Password) — это алгоритм генерации одноразовых паролей, действительных в течение короткого промежутка времени.

💡 Для создания способа входа основанного на HOTP воспользуйтесь инструкцией Как подключить вход через HOTP.

Главное отличие TOTP от HOTP — генерация пароля на основе текущего времени. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (обычно — 30 секунд).

Основные компоненты:

• Сервер аутентификации — сервер, который генерирует секретный ключ и проверяет введенные коды.
• Аутентификатор — приложение, хранящее секретный ключ и генерирующее текущий OTP.
• Секретный ключ — общая для сервера и приложения база, используемая для генерации кодов.

Процесс работы TOTP#

1. Предварительная настройка

   • Администратор создает способ входа TOTP и активирует его для виджетов нужных приложений.
   • Пользователь в своем профиле добавляет новый идентификатор TOTP, сканируя QR-код с секретным ключом через приложение-аутентификатор.

2. Генерация и проверка кода

   • Приложение-аутентификатор вычисляет одноразовый пароль на основе секретного ключа и текущего временного интервала (обычно 30 секунд) с использованием алгоритма SHA1, SHA256 или SHA512.
   • Когда пользователь вводит код на форме входа, сервер повторно вычисляет ожидаемый код по тому же секрету и текущему времени.
   • Если введенный код совпадает с ожидаемым, пользователю предоставляется доступ.

🚨 Важно: Время на устройстве пользователя и на сервере должно быть синхронизировано. Несовпадение времени — самая частая причина отказа кода. Для компенсации небольшой разницы во времени сервер может принимать коды из соседних временных интервалов (обычно ±1 интервал).

Настройка аутентификации для администраторов#

Шаг 1. Создание способа входа#

1. Перейдите в кабинет администратора → вкладка Настройки.

💡 Чтобы создать способ входа для организации, откройте кабинет организации. Если способ входа нужен для конкретного приложения, откройте настройки этого приложения.

1. Найдите блок Способы входа и нажмите Настроить.
2. В открывшемся окне нажмите кнопку Создать .
3. Откроется окно со списком шаблонов.
4. Выберите шаблон TOTP.

5. Заполните форму создания:

   Основная информация

   • Имя — Название, которое увидят пользователи.
   • Описание (опционально) — Краткое описание.
   • Логотип (опционально) — Можно загрузить свою иконку, или будет использована стандартная.

   Параметры

   • Количество цифр — Количество цифр в одноразовом пароле (обычно 6).
   • Период действия — Время действия одноразового пароля в секундах (рекомендуется 30).
   • Алгоритм — Алгоритм хеширования (SHA1, SHA256 или SHA512) (обычно SHA-1).

   Дополнительные настройки

   • Публичный способ входа — Включите, если хотите, чтобы этот способ входа можно было добавить в другие приложения системы (или организации), а также в профиль пользователя в качестве идентификатора внешнего сервиса.
   • Публичность — Настройте уровень публичности по умолчанию для идентификатора внешнего сервиса в профиле пользователя.

6. Нажмите Создать.

После успешного создания новый способ входа появится в общем списке провайдеров.

Шаг 2. Добавление провайдера TOTP на виджет#

Чтобы пользователи увидели кнопку TOTP на форме авторизации, нужно активировать эту функцию в настройках виджета:

1. В общем списке провайдеров найдите созданный способ входа.
2. Включите переключатель на панели с провайдером.

Проверка: После сохранения откройте форму входа в тестовом приложении. На виджете должна появиться новая кнопка с логотипом TOTP.

Привязка TOTP для пользователей#

📌 Инструкция предназначена для пользователей, которым необходимо выполнить вход в систему через TOTP.

Шаг 1. Установка приложения-аутентификатора#

На ваше мобильное устройство необходимо установить приложение, которое генерирует TOTP-коды.

Самые популярные варианты:

• Яндекс Ключ (Яндекс)
• Google Authenticator (Google)

💡 Убедитесь, что время на вашем мобильном устройстве настроено автоматически (через сеть). Неправильное время — самая частая причина того, что коды не принимаются.

Шаг 2. Добавление TOTP-идентификатора в профиль#

1. Перейдите в свой Профиль.

2. Нажмите Добавить в блоке Идентификаторы.

   

3. В открывшемся окне выберите способ входа TOTP.

4. Отсканируйте QR-код с помощью приложения-аутентификатора.

   

5. Введите код из приложения и подтвердите.

💡 Совет: Если идентификатор уже привязан к другому пользователю, необходимо удалить его из профиля этого пользователя, а затем привязать на новом аккаунте.

Шаг 3. Проверка#

1. Перейдите на страницу входа с включенным способом входа TOTP.
2. Выберите иконку способа входа TOTP.
3. Откроется форма для ввода кода.

4. Введите свой логин.

   

5. Не закрывая страницу, откройте приложение-аутентификатор на своем телефоне. Скопируйте 6-значный код и вставьте его в форму.

6. Нажмите кнопку Подтвердить.

🔄 Если код не принимается: Убедитесь, что время на вашем телефоне и сервере синхронизировано. Попробуйте подождать генерации следующего кода (новый появится через 30 секунд). Если проблема не исчезает, обратитесь к администратору.

Смотрите также#

• Способы входа и настройка виджета входа — руководство по способам входа и настройке виджета входа.
• Управление организациями — руководство по работе с организациями системы КриптоАРМ ID.
• Личный профиль и управление разрешениями приложений — руководство по управлению личным профилем.