บทนำ
Sangfor SCP รองรับการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) โดยใช้ OTP (One-Time Password) ผ่านแอปพลิเคชัน Google Authenticator หรือแอป TOTP อื่นๆ เพื่อเพิ่มความปลอดภัยในการ Login เข้าสู่ระบบ นอกจากนี้ยังรองรับการใช้ RADIUS OTP สำหรับการยืนยันตัวตนผ่าน Third-party Server ได้อีกด้วย
ข้อกำหนดเบื้องต้น
- ผู้ใช้งานต้องติดตั้งแอปพลิเคชัน Google Authenticator หรือแอป TOTP ที่รองรับบนมือถือ
- หากต้องการใช้ Email เป็นช่องทางสำรองสำหรับรับ OTP ต้องตั้งค่า SMTP Server บน SCP ให้เรียบร้อยก่อน (ไปที่ Resources > Management > System > SMTP Server)
- เวลาของ SCP และอุปกรณ์มือถือต้องตรงกัน (ต่างกันไม่เกิน 30 วินาที) หากเวลาไม่ตรงให้ตั้งค่า NTP ก่อน
ขั้นตอนการตั้งค่า
ขั้นตอนที่ 1: เปิดใช้งาน Login Protection
- Login เข้าสู่ SCP Platform ด้วยสิทธิ์ Admin (https://SCP-IP:4430)
- ไปที่ Resources > Management > Security
- ภายใต้ Login Policies เลือกแท็บ Login Protection
- เลือก Enable เพื่อเปิดใช้งาน โดยมีตัวเลือกดังนี้:
- Enable - เปิดใช้งานสำหรับผู้ใช้ทุกคน แต่ผู้ใช้สามารถปิดได้เองผ่าน Identity and Access Management > Users
- Enabled permanently - บังคับใช้กับทุกคนและไม่สามารถปิดได้
- Disable - ปิดใช้งานสำหรับทุกคน แต่ผู้ใช้สามารถเปิดเองได้
- Disabled permanently - ปิดใช้งานถาวรและไม่สามารถเปิดได้
ขั้นตอนที่ 2: ตั้งค่า OTP Authentication
- ในส่วน Method เลือก OTP Authentication แล้วคลิก Configure OTP Authentication
- ระบบจะแสดงหน้าต่าง OTP Authentication ซึ่งประกอบด้วย 3 ขั้นตอน:
- Install authenticator application - ติดตั้งแอป Google Authenticator บนมือถือ
- Scan QR code to configure the Authenticator - สแกน QR Code ด้วยแอป Google Authenticator หรือหากสแกนไม่ได้ให้คลิก input secret manually เพื่อกรอก Secret Key ด้วยตนเอง
- Enter the verification code sent to your mobile device - กรอกรหัส OTP 6 หลักที่แสดงในแอป
- คลิก OK เพื่อยืนยันการตั้งค่า
ขั้นตอนที่ 3: เปิดใช้งานสำหรับ User แต่ละคน
- ไปที่ Users and Access Management
- เลือก User ที่ต้องการ แล้วคลิก More
- เปิดใช้งาน Login Protection สำหรับ User นั้น
การตรวจสอบ
- Logout ออกจากระบบแล้ว Login ใหม่ ระบบจะแสดงหน้าต่างให้กรอก OTP Code
- เปิดแอป Google Authenticator บนมือถือ กรอกรหัส 6 หลักที่แสดง แล้วคลิก OK
- หากรหัสถูกต้องจะสามารถเข้าสู่ระบบได้ปกติ
หมายเหตุ
- เฉพาะ Admin เท่านั้นที่สามารถตั้งค่า OTP Authentication ให้กับ Admin หรือ Tenant ได้ Tenant ไม่สามารถตั้งค่าเองได้
- หาก SMS Gateway ทำงานผิดปกติ ผู้ใช้ที่ใช้ SMS Authentication จะไม่สามารถ Login ด้วยรหัสผ่านได้
- RADIUS Authentication Server สามารถตั้งค่าได้ตั้งแต่ SCP เวอร์ชัน 6.9.0 ขึ้นไป
- หากต้องการใช้ Email เป็นช่องทางสำรองสำหรับรับ OTP ในกรณีที่มือถือไม่พร้อมใช้งาน ให้ตั้งค่า SMTP Server ก่อนที่เมนู Resources > Management > System > SMTP Server
- ตรวจสอบให้แน่ใจว่าเวลาของ SCP และมือถือต่างกันไม่เกิน 30 วินาที มิฉะนั้น OTP Code จะไม่ตรงกัน
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น