Настройка и использование Портала самообслуживания пользователей

Портал самообслуживания пользователей позволяет пользователям самостоятельно выполнять ряд действий по выпуску и обслуживанию токенов, а также их собственных данных. Набор
доступных пользователю действий определяет администратор системы.

Пожалуйста, обратите внимание:

1. Портал самообслуживания подключается и настраивается индивидуально для каждого ресурса.
2. Для того, чтобы пользователь смог получить доступ к порталу самообслуживания, он
   должен быть назначен на соответствующий ресурс.
3. Кроме того, у него должен быть установлен пароль в Protectimus или указан адрес электронной почты, на который будет приходить код подтверждения для входа в портал. Если же указаны и пароль, и адрес электронной почты, то вход будет осуществляться по паролю.
4. После выпуска и назначения на ресурс токена для пользователя, при входе также будет запрошен и пароль с этого токена.

1. Активируйте Портал самообслуживания пользователей Protectimus

1. Войдите в свою учетную запись в Облачном сервисе Protectimus или на Локальной платформе Protectimus. Затем перейдите на вкладку Ресурсы, нажмите на название ресурса и перейдите на вкладку Самообслуживание.

2. Если вы еще не включили портал самообслуживания для своих пользователей, нажмите Включить самообслуживание пользователей для этого ресурса и укажите адрес, по которому ваши пользователи смогут перейти на Портал самообслуживания.

2. Настройте Портал самообслуживания пользователей Protectimus

Теперь выберите методы аутентификации, которые будут использовать ваши пользователи и укажите действия, которые будут доступны им.

2.1. Если вы используете Облачный сервис Protectimus

После нажатия кнопки Сохранить вы увидите список доступных для пользователей действий, как показано на рисунке ниже. Сначала все действия отключены по умолчанию. Активируйте те, к которым вы хотите предоставить своим пользователям доступ:

• Регистрация нового токена. Позволяет пользователю создавать, выпускать и назначать себе токены. При включении этого действия, появится список типов токенов, которые будут доступны пользователю в портале. Вы можете оставить только те типы токенов, с которыми планируется работа, чтобы не смущать пользователей обилием других вариантов. После того, как пользователь создаст токен, он будет назначен на этот ресурс как “токен с пользователем”. Начиная с этого момента, для входа в портал у него будет запрашиваться одноразовый пароль, сгенерированный с помощью его токена.
• Назначение существующего токена. Позволяет пользователю подтвердить получение токена. Полезно при использовании физических токенов. Получив комплект токенов, вы назначаете их на ресурс и передаете пользователям удобным для вас способом, а пользователь, при получении токена, самостоятельно укажет серийный номер полученного устройства и подтвердит владение этим устройством с помощью ОТР.
• Перевыпуск токена. Позволяет пользователю заменить существующий токен на новый. После выполнения данного действия, старый токен больше не будет доступен.
• Отменить назначение токена. Позволяет разорвать связь между токеном с пользователем и ресурсом. При этом, связь пользователя с токеном остается. По сути, назначение на ресурс переходит из режима “токен с пользователем” в режим “пользователь”.
• Синхронизация токена. Позволяет синхронизировать токены, если время или счетчик на устройстве и сервере рассинхронизировались (актуально для аппаратных аппаратных токенов, работающих по алгоритму TOTP и OCRA). Чаще всего используется для работы с физическими токенами, т.к. Protectimus Smart имеет встроенную функцию синхронизации. Важно отметить, что Protectimus Smart будет синхронизироваться по времени с основными серверами Protectimus, поэтому, если Вы используете платформу, необходимо, чтобы время на ней также было выставлено корректно.
• Настройка PIN-кода. Позволяет пользователю подключить дополнительный PIN-код к токену. Включив эту функцию, пользователь будет обязан вводить установленный 4-х значный код в поле для ввода ОТР до или после самого ОТР, в зависимости от его выбора. К примеру, если пользователь установил PIN-код “1111”, выбрал ввод PIN-кода после ОТР, а токен сгенерировал одноразовый код “123456”, то при входе в систему, в поле для ввода ОТР пользователю нужно будет ввести следующую комбинацию: “1234561111”.
• Удаление PIN-кода. Разрешает пользователю отменить использование PIN-кода.
• Создание пароля. Позволяет пользователю создать себе пароль в Protectimus.
• Изменение пароля. Разрешение изменять пароль в Protectimus.
• Изменение почты. Разрешение изменять адрес электронной почты в Protectimus.
• Изменение контактного телефона. Разрешение изменять телефонный номер в Protectimus.
• Изменение логина. Разрешение изменять логин в Protectimus. Важно: чаще всего, при интеграции с другими сервисами, связь между системами устанавливается именно по логину, поэтому его изменение пользователем только в одной из систем может привести к невозможности его идентификации в Protectimus и нарушении логики работы при обращении из сторонних сервисов.
• Изменение имени и фамилии. Разрешение менять имя и фамилию в Protectimus.
• Работа с окружением пользователя. Экспериментальная функция интеллектуальной идентификации пользователя. При входе пользователя в систему, оценивается процент соответствия параметров его текущего окружения со значением параметров его обычного окружения.

2.2. Если вы используете локальную платформу Protectimus

Все эти способы доступа могут быть включены одновременно без конфликтов. Если включены и Federated Auth, и Password Auth, пользователи могут войти в Портал самообслуживания, используя либо пароль AD, либо пароль Платформы; оба пароля будут действительными:

• Федеративный пароль (Federated Auth): пользователи входят в Портал самообслуживания, используя свой пароль из Active Directory (AD). Если эта функция включена, пользователям не нужно устанавливать пароль в Платформе Protectimus.
• Авторизация с помощью секретных вопросов (Auth via Security Questions): Пользователи входят в Портал самообслуживания, отвечая на секретные вопросы.
• Авторизация по паролю (Password Auth): Пользователи входят в Портал самообслуживания с помощью пароля, установленного в настройках пользователей в Платформе Protectimus.
• Авторизация с помощью электронной почты (Email Auth): Пользователи входят в Портал самообслуживания с помощью одноразового кода, отправленного на электронную почту, указанную в настройках пользователей в Платформе Protectimus.

• Политика паролей (Password Policy): Эта функция позволяет устанавливать политики для пользователей, позволяющие им самостоятельно изменять/создавать пароль после входа в Портал самообслуживания.
• Изменить федеративный пароль (Change Federated Password): Включив эту функцию, вы предоставляете пользователям разрешение на изменение пароля в AD через Портал самообслуживания. Чтобы изменить пароль AD, им нужно будет указать старый и новый пароли AD.
• Сброс федеративного пароля (Reset Federated Password): Активация этой функции позволяет пользователям сбрасывать пароль AD через Портал самообслуживания, указав только новый пароль.

ПРИМЕЧАНИЕ:

1. Смена пароля в AD с помощью Портала самообслуживания работает только через LDAPS (SSL) соединение; она не работает через LDAP.
2. Возможность смены паролей в AD с помощью Портала самообслуживания доступна исключительно для пользователей, синхронизированных с AD; оно не распространяется на пользователей DSPA.

3. Предоставьте пользователям доступ к Порталу самообслуживания пользователей Protectimus

Чтобы войти в Портал самообслуживания, вашим пользователям понадобится:

1. Либо пароль, либо электронная почта, зарегистрированная на платформе Protectimus.
   Пользователи, имеющие и пароль, и зарегистрированный электронный адрес, будут использовать пароль. Для тех, кто имеет только электронный адрес, код подтверждения будет отправлен на зарегистрированный электронный адрес. При необходимости вы можете добавить пароль или адрес электронной почты в настройках пользователя.

2. Ссылка, указанная при активации Портала самообслуживания.
   
   
   
   Пользователи должны перейти по этой ссылке, чтобы войти в свой аккаунт на Портале самообслуживания, где они увидят доступные действия. Затем им нужно нажать соответствующую кнопку и выполнить необходимые шаги для завершения выбранного действия.