Многофакторная аутентификация в ArcGIS

Многофакторная проверка подлинности (MFA) — это использование нескольких методов, учетных данных или факторов для проверки личности пользователя или клиента, который пытается пройти проверку подлинности в системе. В отличие от этого, однофакторная аутентификация может полагаться на один метод аутентификации, например пароль. Многофакторная аутентификация может использоваться для того, чтобы гарантировать, что украденные учетные данные или секрет сами по себе не являются достаточной информацией для выдачи себя за пользователя.

Фактором может быть любой защищаемый и проверяемый фрагмент данных. Проще говоря, он представляет собой пароль, но включает в себя и другие формы, такие как:

• Персональные идентификационные номера или PIN-коды
• Контрольные вопросы — ответ, предоставленный пользователем, который проверяется при входе в систему (и изначально указывается пользователем)
• Биометрические факторы, включая изображение сетчатки глаза или отпечатка пальца
• Программный токен - Чаще всего, программный генератор случайных чисел, который вводится с определенными входными данными, чтобы доказать, что устройство, на котором работает программное обеспечение, является единственным устройством, способным правильно его генерировать.
• Аппаратный токен — часто программное устройство, такое как связка ключей, созданное для отображения строки символов или цифр, которые могут быть однозначно идентифицированы этим устройством, чтобы доказать, что пользователь владеет устройством.
• Устройства и технологии аутентификации без пароля, такие как FIDO2
• MFA на основе SMS — код отправляется на известный номер телефона, который пользователь затем предоставляет для подтверждения доступа к мобильному устройству, получающему SMS.
• MFA на основе приложения — другое приложение, обычно работающее на мобильном устройстве, получает push-уведомление, которое пользователь проверяет перед предоставлением доступа.
• Смарт-карты - также широко известные как карты проверки личности, часто содержат определенный сертификат клиента.

MFA может быть применена на любом этапе процесса проверки подлинности или на всех сразу. Она часто используется во время первичной аутентификации или верификации, после чего система не запрашивает повторную аутентификацию в течение определенного периода времени. Это используется для упрощения доступа пользователей и предотвращения негатива с системой MFA, что может привести к тому, что пользователи отключат дополнительные факторы, если такая опция доступна.

Как правило, при первом входе в систему через определенного провайдера идентификации или систему требуется несколько факторов аутентификации, особенно при использовании неопознанного оборудования, такого как общедоступный ПК или новое мобильное устройство. После установления личности многие системы используют файл cookie или комбинацию сведений об устройстве, местоположении или IP-адресе, чтобы избежать требований многофакторной аутентификации для последующих входов с этого устройства или системы.

Распространенные шаблоны MFA

Несмотря на то, что реализация MFA может принимать различные формы, общие шаблоны для корпоративных систем включают в себя:

• Чаще всего требования MFA применяются на уровне провайдера идентификации (IdP). IdP обеспечивает вход в систему на основе SAML или Open ID Connect для ArcGIS Enterprise или ArcGIS Online.
  • В этом сценарии пользователю предлагается ввести дополнительный фактор во время входа в систему SAML или OIDC. Это может произойти на сайте или в интерфейсе, который обслуживается провайдером идентификации (IdP), а программное обеспечение ArcGIS не знает о требованиях MFA. Это требуется и проверяется исключительно провайдером идентификации (IdP).
• MFA для встроенных учетных записей ArcGIS Enterprise
  • Эта опция может быть включена для встроенных учетных записей ArcGIS Enterprise. Она предоставляет встроенным пользователям возможность настроить MFA с помощью существующего приложения, такого как Google Authenticator. Более подробно см. Многофакторная аутентификация в ArcGIS Enterprise.
• MFA для встроенных учетных записей ArcGIS Online
  • Как и в примере выше, MFA может быть включена для встроенных учетных записей ArcGIS Online. Более подробно см. Многофакторная аутентификация в ArcGIS Online.

Рекомендации по внедрению MFA

• ArcGIS использует процесс аутентификации на основе OAuth для входа в систему на основе приложений, включая Field Maps или ArcGIS Pro. Это означает, что запрос MFA от провайдера идентификации или от самого ArcGIS обрабатывается непосредственно в процессе входа во встроенном или внешнем веб-браузере, запускаемом из самого приложения. Сеанс пользователя устанавливается и продолжается без дальнейших запросов до тех пор, пока он не пройдет повторную аутентификацию. Этот процесс входа обычно выполняется во встроенном или отдельном окне браузера, которое может обрабатывать файлы cookie, перенаправления и множество видов MFA на основе браузера для провайдеров SAML и OIDC.
• Для любого рабочего процесса, который включает в себя регулярные безынтерфейсные запросы (например, скрипты или автоматизация рабочих процессов) или межсерверное взаимодействие, необходимо следить, чтобы многофакторная аутентификация не мешала выполнению этих запросов и не вызывала непредвиденные сбои.
• MFA, включённая для таких рабочих процессов, как подключение к базе данных, будет работать с ArcGIS только в случае явной поддержки — проверьте примечания к релизу ArcGIS и требования к вашей СУБД.

Подводя итог, можно сказать, что существует множество определений MFA и способов её настройки в разных программных решениях, но с точки зрения ArcGIS она обычно реализуется на уровне провайдера идентификации для шаблонов корпоративной авторизации либо добавляется к процессам встроенной аутентификации в ArcGIS Enterprise или ArcGIS Online