5. Руководство пользователя

Авторизация по паролю

Вход по паролю является базовым способом аутентификации пользователей.

1. В браузере перейдите на страницу защищаемого приложения, например http://localhost:8091

2. Введите ваш логин (или адрес привязанной электронной почты) и пароль

3. Нажмите кнопку Войти

Если учетные данные верны, вы будете авторизованы в системе. В случае ошибки система выведет уведомление "Аутентификация не пройдена".

Если пароль пользователя был сброшен, или администратор установил одноразовый пароль для первого входа, будет выведен дополнительный запрос на смену одноразового пароля:

4. Нажмите кнопку Ок и введите новый пароль, отвечающий установленным политикам безопасности

5. После смены пароля необходимо пройти аутентификацию с новым паролем

Авторизация через SSO

Одним из основных преимуществ централизованного решения IAM для пользователей является возможность аутентификации с использованием механизма единого окна, без многократного ввода пароля (механизм SSO, single sign-on).

1. В браузере перейдите на страницу Спрут IAM, например http://localhost:8090

2. Введите ваш логин (или адрес привязанной электронной почты) и пароль

3. Веб-интерфейс Спрут IAM по умолчанию открывается разделом "Мои приложения"

4. Нажмите кнопку любого приложения, чтобы его открыть. При этом вместо запроса пароля будет предложено войти в приложение под той же учетной записью, под которой был выполнен вход в Спрут IAM.

5. Если текущая учетная запись подходит, нажмите кнопку Продолжить, чтобы войти в приложение. Иначе нажмите кнопку Сменить учетную запись, чтобы перейти в обычный режим авторизации.

Авторизация WebAuthn

Если используемое рабочее место поддерживает стандарт аутентификации WebAuthn (например, методами FaceID / TouchID / Windows Hello), можно использовать его для авторизации в Спрут IAM.

1. Авторизуйтесь в Спрут IAM и перейдите в раздел "Мой профиль", блок "Методы авторизации"

2. В строке "Биометрия и аппаратные ключи" нажмите кнопку Привязать. В зависимости от принятого на устройстве метода аутентификации WebAuthn будет выдан соответствующий запрос на создание ключа аутентификации.

3. В случае необходимости можно удалить привязку кнопкой Удалить

4. Для авторизации в приложении с использованием WebAuthn нажмите кнопку аутентификации WebAuthn вместо ввода пароля

После успешной верификации биометрического или аппаратного ключа вы будете авторизованы в приложении.

Авторизация по УКЭП

С помощью Спрут IAM можно организовать аутентификацию по сертификату ключа электронной подписи. Для этого на компьютере пользователя должен быть установлен плагин КриптоПро.

1. Авторизуйтесь в Спрут IAM и перейдите в раздел "Мой профиль", блок "Методы авторизации"

2. В строке "Электронная подпись" нажмите кнопку Привязать. При этом будет выдан соответствующий запрос на подключение плагина КриптоПро, а также на привязку сертификата электронной подписи.

3. Для авторизации в приложении с использованием УКЭП нажмите кнопку аутентификации УКЭП вместо ввода пароля

4. Для входа в систему необходимо выбрать и применить ранее привязанный сертификат электронной подписи.

Авторизация по электронной почте

Верифицированный адрес электронной почты пользователя можно использовать наравне с логином для аутентификации по паролю. Кроме этого, в зависимости от установленных политик безопасности, по электронной почте пользователь может самостоятельно выполнить регистрацию в Спрут IAM или смену пароля.

1. Для регистрации нового пользователя по электронной почте нажмите Зарегистрироваться в окне авторизации.

2. Введите адрес электронной почты, ФИО нового пользователя и нажмите Зарегистрироваться. Система направит на указанный адрес электронное письмо со ссылкой верификации.

3. При переходе по ссылке верификации система запросит создание пароля. Введите новый пароль, отвечающий установленным политикам безопасности.

4. После установки пароля необходимо пройти аутентификацию с новым паролем.

5. При наличии верифицированного адреса электронной почты можно выполнить сброс пароля, Для этого нажмите Забыл пароль в окне авторизации.

6. Введите адрес электронной почты и нажмите Запросить восстановление. Система направит на указанный адрес электронное письмо со ссылкой восстановления пароля.

7. При переходе по ссылке восстановления система запросит смену пароля. Введите новый пароль, отвечающий установленным политикам безопасности.

Авторизация через внешние сервисы

Система поддерживает аутентификацию через внешние сервисы:

• ЕСИА - https://esia.gosuslugi.ru/login/

• Сбер - https://id.sber.ru/profile/me

• Яндекс - https://id.yandex.ru

• ВКонтакте - https://id.vk.com

Привязка внешних сервисов осуществляется самостоятельно пользователем через личный кабинет Спрут IAM. Если это разрешено политиками безопасности, через внешние сервисы можно организовать создание новых пользователей.

Двухфакторная аутентификация

При необходимости пользователь может самостоятельно подключить механизм одноразовых токенов OTP/TOTP в качестве второго фактора аутентификации.

1. Авторизуйтесь в Спрут IAM и перейдите в раздел "Мой профиль", блок "Безопасность"

2. Нажмите кнопку Включить в блоке "Двухфакторная аутентификация". Система сгенерирует секретный ключ и выведет QR-код для удобства его подключения

3. Установите любую программу для работы с одноразовыми токенами OTP/TOTP:

• Яндекс Ключ - https://yandex.ru/id/key/main

• Google Authenticator - https://support.google.com/accounts/answer/1066447

• FreeOPT - https://freeotp.github.io

4. Отсканируйте QR-код, в соответствии с инструкцией по использованию выбранной вами программы и введите полученный одноразовый 6-значный код в соответствующее поле под QR-кодом.

5. При аутентификации с помощью Спрут IAM одноразовый код будет запрашиваться каждый раз после ввода пароля

Необходимо каждый раз открывать программу для работы с одноразовыми токенами и вводить временный пароль, который будет в ней отображен.