Pro zvýšení bezpečnosti systému doporučujeme nastavit Pravidla autentizace, která vyžadují použití jedné z následujících metod přihlášení:
- MFA - Dvoufázové přihlašování probíhá pomocí uživatelského jména, hesla a šestimístného kódu vygenerovaného TOTP algoritmem. Pokud se uživatel touto metodou přihlašuje poprvé, bude vyzván k uložení tajného klíče (secret key) pomocí QR kódu v aplikaci, a při každém dalším přihlášení zadáním šestimístného kódu. Více informaci o nastavení MFA od Google nebo Microsoft - volba poskytovatele záleží na preferenci uživatele.
- Heslo - Přihlášení pomocí uživatelského jména a hesla (pomocí pravidla lze nastavit jeho minimální délku).
- Karta - Přihlášení pomocí karty nebo čipu přes čtečku.
- API - Přihlášení přes api, například pro automatické odepisování výroby strojem.
- Subsystem - Používá se jen pro zákaznicky specifické moduly (nestandardní).
- Při přihlášení uživatele je pravidlo autentizace vybráno ze všech pravidel následovně:
- Role na pravidlu odpovídá alespoň jedné z rolí uživate nebo je uživatel na pravidlu přímo zadán.
- Zkonotroluje nastavení pole Správce:
- Pokud je na pravidlu nastaveno bez hodnoty |—|, nastavení na uživateli nemá vliv.
- Pro uživatele se zaškrknutým Správce zůstanou jen pravidla, které toto pole mají také zaškrknuto.
- Pro uživatele s nezaškrknutým Správce zůstanou jen pravidla, které toto pole mají také nezaškrknuto.
- Pokud je zadána, tak zkontrolujeme, zda IP adresa, resp. její regulární výraz, odpovídá adrese uživatele.
- Z pravidel, které zůstanou vybereme pravidlo s největší váhou.
- Ověříme zda způsob přihlášení, odpovídá vybranému pravidlu. V případě, že neodpovídá, tak je přihlášení zakázáno. V případě kdy odpovídá nebo pravidlo nebylo nalezeno, tak je přihlášení povoleno.
Pokud jsou nastavené role prázdné, tak do pravidla spadají všichni uživatelé bez ohledu na roli.
Pokud lidé nejsou nastavení, tak do filtru spadají všichni uživatelé.
Prázdná hodnota IP adresy zahrnuhe jakoukoliv ip adresou uživatele. Hodnotu lze zadat také ve formě regulárního výrazu. Například pro uživatele jehož IP adresa začíná 68.12.5. je regulární výraz následovný: ^68\.12\.5\..*
- Pravidlo pro správce (MFA povinné)
- Role: Nevybráno
- Správce: Zaškrtnuto
- Metoda přihlášení: MFA (Dvoufázové ověřování)
- IP adresa: Nevybráno
Toto pravidlo zajišťuje, že všichni uživatelé, kteří mají zaškrtnuto pole Správce, musí pro přihlášení vždy použít dvoufázové ověřování (MFA), bez ohledu na jejich roli nebo síťové umístění.
- Pravidlo pro THP pracovníky (Jméno a Heslo ve vnitřní síťi)
- Role: Všechny role THP pracovníků
- Správce: Nezaškrnuto
- Metoda přihlášení: Jméno a heslo
- IP adresa: Vnitřní síť (např. ^192.168..*)
- Váha pravidla: Vysoká
THP pracovníci se mohou přihlašovat pomocí jména a hesla, pokud se nacházejí v rámci vnitřní sítě.
- Pravidlo pro THP pracovníky (MFA mimo vnitřní síť)
- Role: Všechny role THP pracovníků
- Správce: Nezaškrnuto
- Metoda přihlášení: MFA
- IP adresa: Nevybráno
- Váha pravidla: Střední
THP pracovníci musí pro přihlášení vždy použít dvoufázové ověřování (MFA),pokud se nacházejí mimo vnitřní sít.
- Pravidlo pro operátory (Přihlášení kartou pouze v rámci vnitřní sítě)
- Role: Všechny role operátorů
- Správce: Nezaškrtnuto
- Metoda přihlášení: Karta
- IP adresa: Pouze vnitřní síť (např. ^192.168..*)
Operátoři mohou použít kartu pro přihlášení pouze v rámci vnitřní sítě. Pokud se pokusí přihlásit mimo tuto síť, přihlášení bude zakázáno.
Tato pravidla umožňují zajistit, že správci vždy používají dvoufázové ověřování, THP pracovníci mají zvýšenou bezpečnost při přístupu z vnějšku a operátoři se mohou přihlásit pouze pomocí karty v bezpečném prostředí vnitřní sítě.