Двухфакторная аутентификация

• 1: Мобильные устройства
• 2: Time-based One-Time Password
• 3: WebAuthn

1 - Мобильные устройства

Файл конфигурации configuration.yml

duo_api:
  disable: false
  hostname: 'api-123456789.rabrain.ru'
  integration_key: 'ABCDEF'
  secret_key: '1234567890abcdefghifjkl'
  enable_self_enrollment: false

Опции

Disable

Отключает Duo. Если имена хостов, integration_key и secret_key являются пустыми строками или не определены, это значение автоматически становится истинным.

hostname

Имя хоста API Duo. Он указывается на панели управления Duo.

integration_key

Не секретный ключ интеграции Duo. Аналогичен идентификатору клиента. Он указывается на панели управления Duo.

secret_key

Секретный ключ Duo, используемый для проверки подлинности вашего приложения. Он предоставляется на панели управления Duo.

enable_self_enrollment

Позволяет самостоятельно регистрировать устройства Duo на портале Authelia.

2 - Time-based One-Time Password

Файл конфигурации configuration.yml

totp:
  disable: false
  issuer: 'authelia.com'
  algorithm: 'sha1'
  digits: 6
  period: 30
  skew: 1
  secret_size: 32
  allowed_algorithms:
    - 'SHA1'
  allowed_digits:
    - 6
  allowed_periods:
    - 30
  disable_reuse_security_policy: false

Опции

Disable

Это отключает одноразовый пароль (TOTP), если установлено значение true.

issuer

Приложения, генерирующие одноразовые пароли, основанные на времени, обычно отображают эмитента, чтобы отличить приложения, зарегистрированные пользователем.

Authelia позволяет настраивать эмитента, чтобы отличить запись, созданную Authelia, от других.

algorithm

Алгоритм, используемый для ключа TOTP.

Возможные значения:

• sha1
• sha256
• sha512

Изменение этого значения влияет только на вновь зарегистрированные ключи TOTP.

digits

Количество цифр, которые пользователь должен ввести для аутентификации. Обычно не рекомендуется изменять этот параметр, поскольку многие TOTP-приложения не поддерживают ничего, кроме 6. Хуже того, некоторые TOTP-приложения позволяют добавить ключ, но не используют правильное количество цифр, указанное в ключе.

Правильные значения - 6 или 8.

period

Период времени в секундах между поворотами клавиш или временной элемент TOTP.

Рекомендуется держать это значение равным 30, минимальное значение - 15.

skew

Количество временных одноразовых паролей по обе стороны от текущего действующего временного одноразового пароля, которые также должны считаться действительными. Значение по умолчанию 1 приводит к 3 действительным одноразовым паролям на основе времени. При значении 2 их будет 5.

secret_size

Длина в байтах генерируемых общих секретов. Минимальное значение - 20 (или 160 бит), а по умолчанию - 32 (или 256 бит).

allowed_algorithms

Аналогичен алгоритму с теми же ограничениями, за исключением того, что эта опция позволяет пользователям выбирать из этого списка. Этот список всегда будет содержать значение, заданное в опции алгоритма.

disable_reuse_security_policy

Отключает политику, которая предотвращает повторное использование кодов одноразовых паролей, основанных на времени. Это дополнительная мера безопасности, которая предотвращает повторное воспроизведение кодов. Это касается только тех кодов, которые используются в течение срока действия более одного раза.

Регистрация

Когда пользователи впервые регистрируют свое устройство TOTP, текущий эмитент, алгоритм и период используются для генерации ссылки TOTP и QR-кода. Эти значения сохраняются в базе данных для последующих проверок.

Входная валидация

Параметры конфигурации периода и перекоса влияют друг на друга. По умолчанию период равен 30, а перекос - 1.

3 - WebAuthn

Файл конфигурации configuration.yml

webauthn:
  disable: false
  enable_passkey_login: false
  display_name: 'Authelia'
  attestation_conveyance_preference: 'indirect'
  timeout: '60 seconds'
  filtering:
    permitted_aaguids: []
    prohibited_aaguids: []
    prohibit_backup_eligibility: false
  selection_criteria:
    attachment: ''
    discoverability: 'preferred'
    user_verification: 'preferred'
  metadata:
    enabled: false
    validate_trust_anchor: true
    validate_entry: true
    validate_entry_permit_zero_aaguid: false
    validate_status: true
    validate_status_permitted: []
    validate_status_prohibited:
      - 'REVOKED'
      - 'USER_KEY_PHYSICAL_COMPROMISE'
      - 'USER_KEY_REMOTE_COMPROMISE'
      - 'USER_VERIFICATION_BYPASS'
      - 'ATTESTATION_KEY_COMPROMISE'

Опции

Disable

Это отключает WebAuthn, если установлено значение true.

enable_passkey_login

Позволяет входить в систему с помощью Passkey вместо имени пользователя и пароля. Такой вход считается только однофакторным. По умолчанию пользователю будет предложено ввести пароль, если запрос требует многофакторной аутентификации.

display_name

Устанавливает отображаемое имя, которое отправляется клиенту для отображения. Отдельные браузеры и, возможно, отдельные операционные системы сами решают, отображать ли эту информацию и каким образом.

Дополнительную информацию см. в документации W3C WebAuthn.

timeout

Это настраивает запрошенное время ожидания для взаимодействия с WebAuthn.

filtering

В этом разделе настраиваются различные параметры фильтрации при регистрации.

selection_criteria

Параметры критериев выбора задают предпочтения для выбора подходящего аутентификатора.

metadata

Настраивает службу метаданных, которая используется для проверки подлинности аутентификаторов.