Autenticazione multifattoriale IP-PBX serie GRANDSTREAM UCM63xx

Guida all'autenticazione a più fattori

INTRODUZIONE

La funzionalità di autenticazione a più fattori (MFA) dell'IP-PBX aggiunge un metodo semplice e sicuro per proteggere il sistema, oltre a richiedere un nome utente e una password per l'accesso. Se abilitata, l'IP-PBX richiederà le credenziali di accesso (il primo fattore) e un codice di verifica da un dispositivo MFA (il secondo fattore), aumentando la sicurezza del sistema IP-PBX. Per utilizzare l'MFA, gli utenti dovranno installare un'applicazione MFA virtuale o acquistare un dispositivo MFA fisico. L'MFA viene configurata e applicata per account, non per tutti gli account.

Nota:
In questa guida il termine IP-PBX si riferisce alla serie UCM63xx, Cloud UCM, Software UCM e alla serie GCC6000 (modulo PBX).

• Dispositivo MFA virtuale
  I dispositivi MFA virtuali si riferiscono ad applicazioni software eseguite su dispositivi mobili o altri dispositivi per sostituire i dispositivi MFA fisici. Un'applicazione MFA genererà un codice di sei cifre tramite un algoritmo TOTP (Time-Based One-Time Password). Questo codice sarà richiesto per l'accesso all'IP-PBX. Il dispositivo MFA virtuale assegnato a ciascun utente deve essere univoco. Un utente non può utilizzare un codice del dispositivo o dell'applicazione MFA di un altro utente per accedere al proprio account. Poiché le applicazioni MFA possono essere eseguite su hardware non sicuro, potrebbero non fornire lo stesso livello di sicurezza dei dispositivi MFA fisici.
• Dispositivo MFA fisico
  Un dispositivo MFA fisico genererà un codice di sei cifre tramite un algoritmo TOTP (Time-Based One-Time Password). Questo codice sarà necessario per accedere al centralino IP. Il dispositivo MFA fisico assegnato a ciascun utente deve essere univoco. Un utente non può utilizzare un codice proveniente dal dispositivo MFA o dall'applicazione di un altro utente per accedere al proprio account.

SPECIFICHE DEL DISPOSITIVO MFA

	Dispositivo MFA virtuale	Dispositivo MFA fisico
Dispositivo	Vedere la tabella sottostante delle applicazioni MFA virtuali	Token hardware TOTP	Chiave di sicurezza FIDO
Costo	Gratuito	Prezzo determinato dal fornitore terzo	Prezzo determinato dal fornitore terzo
Specifiche del dispositivo	Qualsiasi dispositivo mobile o tablet in grado di installare ed eseguire applicazioni che supportano lo standard TOTP	Dispositivo di terze parti che supporta dispositivi standard TOTP come i dispositivi Microcosm MFA	Dispositivi che supportano lo standard di autenticazione aperto FIDO U2F.
Scenario applicativo	È possibile supportare più token su un dispositivo	Molti istituti finanziari e organizzazioni IT aziendali utilizzano lo stesso tipo di dispositivo	Applicare metodi di autenticazione dei pagamenti e rafforzare la sicurezza delle transazioni e-commerce.

APPLICAZIONI MFA VIRTUALI

Accedi all'app store del tuo dispositivo mobile o tablet per scaricare e installare le applicazioni MFA. La tabella seguente elenca alcune applicazioni MFA.ample applicazioni.

Dispositivi mobili Android™	Google Authenticator Twilio Authy Autenticazione a 2 fattori
Dispositivi mobili iOS™	Google Authenticator Twilio Authy Autenticazione a due fattori
Dispositivi mobili Windows™	Autenticatore (di Microsoft)

UTILIZZO DEL DISPOSITIVO MFA
Si consiglia vivamente di configurare l'autenticazione a più fattori (MFA) per garantire un livello di sicurezza più elevato per il sistema IP-PBX. I super amministratori e gli amministratori possono attivare l'MFA per i propri account, ma non per gli account di altri.

Utilizzo del dispositivo MFA virtuale
Per prima cosa, scarica un'applicazione MFA dal tuo app store (ad esempio, Apple App Store o Google Play Store). Vedi la Tabella 3 per esempioample applicazioni MFA disponibili.

Nota
Per configurare correttamente MFA, è necessario impostare indirizzi email per l'IP-PBX e l'account amministratore desiderato. Questo è l'unico metodo per disabilitare MFA senza effettuare l'accesso all'account. Se non è configurato alcun indirizzo email, l'account non sarà in grado di effettuare l'accesso.

Per configurare MFA sull'IP-PBX, seguire questi passaggi:

1. Accedi al portale di gestione dell'IP-PBX con l'account super amministratore. Vai su Impostazioni di sistema → Impostazioni email e configura impostazioni email valide che consentano all'IP-PBX di inviare email. Assicurati che il campo Tipo sia impostato su Client.
2. Sul centralino IP-PBX web UI, vai alla pagina Manutenzione → Gestione utenti e clicca per modificare le informazioni utente. Configura l'indirizzo email per l'amministratore.
3. Abilita l'autenticazione a più fattori e seleziona l'app di autenticazione nel prompt. Quindi clicca su Avanti.
4. La finestra di certificazione del dispositivo Virtual MFA fornirà istruzioni dettagliate su come impostare tutto. Gli utenti possono scansionare un codice QR o inserire manualmente una chiave tramite la loro app MFA.
5. Apri la tua app MFA virtuale e segui i passaggi indicati di seguito.
   • Se la tua applicazione MFA supporta un codice QR, scansiona il codice QR fornito. Alcuni dispositivi mobili possono scansionare e rilevare i codici QR utilizzando un'app fotocamera.
   • Se l'applicazione MFA non supporta i codici QR, clicca su "Mostra chiave" e inserisci manualmente la chiave nell'applicazione MFA. Se l'MFA richiede di selezionare la modalità di generazione del codice, seleziona "Basato sul tempo".
     Nota
     Se l'applicazione MFA virtuale supporta più dispositivi o account MFA, selezionare Aggiungi nuovo dispositivo/account MFA per creare un nuovo dispositivo o un nuovo account.
6. L'MFA genererà periodicamente password monouso. Inserisci la password monouso visualizzata sull'app MFA nel campo Codice 1. Attendi circa 30 secondi affinché l'app generi un'altra password monouso. Inserisci questa nuova password nel campo Codice 2.
7. Fare clic su "Avvia autenticazione". Dopo aver completato l'autenticazione, fare clic sui pulsanti "Salva" e "Applica modifiche" per rendere effettive le impostazioni. L'account è stato associato correttamente al dispositivo MFA virtuale. Sarà ora necessario un codice MFA per accedere all'account.

Appunti

1. Invia la tua richiesta subito dopo aver generato il codice. Altrimenti, la TOTP (time-based one-time password) scadrà presto. Se è scaduta, ricomincia da capo.
2. Un utente può essere associato a un solo dispositivo MFA.

Utilizzo del dispositivo MFA fisico
Gli utenti dovranno acquistare un dispositivo MFA fisico e confermare che l'IP-PBX abbia delle impostazioni email valide configurate con il campo Tipo impostato su Client. L'account che si sta configurando per MFA deve anche avere un indirizzo email valido configurato.

Nota
Per configurare correttamente MFA, è necessario impostare indirizzi email per l'IP-PBX e l'account amministratore desiderato. Questo è l'unico metodo per disabilitare MFA senza effettuare l'accesso all'account. Se non è configurato alcun indirizzo email, l'account non sarà in grado di effettuare l'accesso.

Configurare il token hardware TOTP
Di seguito sono riportati i passaggi per configurare un token hardware TOTP (Time-Based One-Time Password) su IP-PBX.

1. Accedi al portale di gestione dell'IP-PBX con l'account super amministratore. Vai a Impostazioni di sistema → Impostazioni email e configura impostazioni email valide che consentano all'IP-PBX di inviare email. Assicurati che il campo Tipo sia impostato su Client.
2. Sul centralino IP-PBX web Interfaccia utente, vai alla pagina Manutenzione → Gestione utenti e clicca per modificare le informazioni utente. Configura l'indirizzo email dell'amministratore.
3. Abilita l'autenticazione multifattore e seleziona il token hardware TOTP nel prompt seguente. Quindi fai clic su Avanti.
4. Verrà visualizzata la seguente finestra di certificazione del dispositivo MFA hardware:
5. Inserisci la chiave segreta del dispositivo. Contatta il tuo fornitore per ottenere la chiave segreta.
   Nota
   La chiave segreta deve essere il seed esadecimale predefinito (seeds.txt) o il seed base32. Ad esempioampon:
   HEX SEED: B12345CCE6DA79B23456FE025E425D286A116826A63C84ACCFE21C8FE53FDB22 BASE32 SEED: WNKYUTRG3KE3FFTZ7UIO4QS5FBVBC2HJKY6IJLCP4QOH7ZJ12YUI====
6. Nel campo Codice 1, inserisci il codice a sei cifre visualizzato sul dispositivo MFA. Dovrai premere il pulsante sulla parte anteriore del dispositivo MFA per visualizzare il codice. Attendi circa 30 secondi affinché il dispositivo generi un nuovo codice. Inserisci questo secondo codice a sei cifre nel campo Codice 2.
7. Fai clic su Avvia autenticazione. Dopo aver superato l'autenticazione, fai clic su Salva e applica affinché le impostazioni abbiano effetto. Ora il tuo account è associato correttamente al dispositivo MFA. Il codice dispositivo MFA deve essere inserito affinché l'utente possa accedere correttamente.

Appunti

1. Invia la tua richiesta subito dopo aver generato il codice. Altrimenti, la password monouso potrebbe scadere. Se è scaduta, ricomincia da capo.
2. Ogni utente può essere associato a un solo dispositivo MFA.

Configurare la chiave di sicurezza FIDO (solo Cloud UCM)
Per configurare l'autenticazione con chiave di sicurezza FIDO per Cloud UCM, seguire i passaggi indicati di seguito:

1. Accedi al portale di gestione di Cloud UCM con l'account super amministratore. Vai a Impostazioni di sistema → Impostazioni email e configura impostazioni email valide che consentano a Cloud UCM di inviare email. Assicurati che il campo Tipo sia impostato su Cliente.
2. Sul cloud UCM web Interfaccia utente, vai alla pagina Manutenzione → Gestione utenti e clicca per modificare le informazioni utente. Configura l'indirizzo email dell'amministratore.
3. Abilita l'autenticazione multifattore e seleziona la chiave di sicurezza FIDO nel prompt seguente. Quindi fai clic su Avanti.
4. Seleziona dove archiviare la tua passkey: sul tuo iPhone, iPad, dispositivo Android o su una chiave di sicurezza fisica.
5. Se si seleziona un dispositivo iPhone, iPad o Android, nella schermata successiva verrà visualizzato un codice QR da scansionare con la fotocamera del dispositivo. Se si sceglie una chiave di sicurezza, questa dovrà essere inserita nella porta USB del computer.
6. Segui le istruzioni in base al metodo selezionato. Una volta completato, apparirà una finestra di conferma per verificare che l'autenticazione FIDO sia stata abilitata correttamente.

RIMOZIONE DEL DISPOSITIVO MFA

Se l'MFA non è più necessaria, è possibile disattivarla per l'account in qualsiasi momento.

Rimozione di MFA tramite Gestione utenti

1. Accedi all'account amministratore per disattivare l'MFA. Vai su Manutenzione → Gestione utenti e modifica l'account appropriato.
2. Deseleziona Autenticazione a più fattori.

Rimozione MFA tramite pagina di accesso

1. Nella pagina di login, inserisci le credenziali dell'account. Una volta visualizzata la finestra Multi-Factor Authentication, clicca sul link Reset certification sotto il pulsante Login.
2. Un'email di rimozione MFA verrà inviata all'indirizzo email associato dell'utente. Nell'email, fai clic sul pulsante Reimposta ora per confermare e disabilitare MFA.
3. Questa email di reimpostazione sarà valida per 10 minuti e scadrà immediatamente dopo che un utente avrà cliccato su di essa.

DISPOSITIVI SUPPORTATI
Nella tabella seguente sono riportati tutti i modelli IP-PBX che supportano la funzionalità di autenticazione a più fattori:

Domande frequenti

• D: Posso utilizzare più dispositivi MFA virtuali con un account IP-PBX?
  R: Sì, è possibile utilizzare più dispositivi MFA virtuali con un singolo account IP-PBX per una maggiore sicurezza.
• D: È obbligatorio utilizzare MFA per tutti gli account nel sistema IP-PBX?
  R: No, l'MFA può essere abilitato selettivamente per ogni account dai super amministratori e dagli amministratori, ma non è obbligatorio per tutti gli account.

Documenti / Risorse

Autenticazione multifattoriale IP-PBX serie GRANDSTREAM UCM63xx [pdf] Guida utente Serie UCM63xx, CloudUCM, SoftwareUCM, Serie GCC6000, Autenticazione multifattore IP-PBX serie UCM63xx, Serie UCM63xx, Autenticazione multifattore IP-PBX, Autenticazione multifattore, Autenticazione a fattori

Riferimenti

• Manuale d'uso