ภาพรวม
TOTP (Time-based One-Time Password) เป็นระบบ Two-Factor Authentication (2FA) ที่เพิ่มชั้นความปลอดภัยให้กับการ Login เข้าสู่ระบบ VDI นอกจากรหัสผ่านปกติ ผู้ใช้ต้องกรอกรหัส OTP จาก Authenticator App อีกหนึ่งขั้นตอน ช่วยป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาตแม้รหัสผ่านจะถูกขโมย
ข้อกำหนดเบื้องต้น (Prerequisites)
- ผู้ใช้ต้องติดตั้ง Authenticator App ที่รองรับ TOTP บนสมาร์ทโฟน เช่น Google Authenticator, Microsoft Authenticator หรือ Authy
- เวลาของ VDC Server และสมาร์ทโฟนของผู้ใช้ต้อง Sync ตรงกัน (ผ่าน NTP)
- ผู้ดูแลระบบต้องมีสิทธิ์ Admin เพื่อเปิดใช้งาน TOTP
การเปิดใช้งาน TOTP บน VDC
- เข้าสู่ระบบ VDC Web Console ด้วย Admin Account
- ไปที่เมนู Services > Authentication > TOTP Authentication
- คลิก Enable เพื่อเปิดใช้งาน TOTP
- กำหนดค่าต่อไปนี้:
- Applied Scope — เลือกว่าจะบังคับใช้ TOTP กับผู้ใช้ทุกคน หรือเฉพาะ User Group ที่กำหนด
- Grace Period — ระยะเวลาที่อนุญาตให้ผู้ใช้ Login โดยไม่ต้องใช้ TOTP หลังจากเปิดใช้งาน (เพื่อให้มีเวลาตั้งค่า Authenticator App)
- Token Validity Period — ระยะเวลาที่ TOTP Code แต่ละตัวมีผล (ปกติ 30 วินาที)
- คลิก Save เพื่อบันทึกการตั้งค่า
การลงทะเบียน TOTP สำหรับผู้ใช้ (User Enrollment)
หลังจากเปิดใช้งาน TOTP ผู้ใช้จะต้องลงทะเบียนดังนี้:
- ผู้ใช้ Login เข้าระบบ VDI ตามปกติด้วย Username และ Password
- ระบบจะแสดง QR Code บนหน้าจอ
- เปิด Authenticator App บนสมาร์ทโฟน แล้วเลือก Scan QR Code
- สแกน QR Code ที่แสดงบนหน้าจอ
- Authenticator App จะเพิ่ม Entry ใหม่สำหรับ VDI และเริ่มสร้างรหัส OTP
- กรอกรหัส OTP 6 หลักที่แสดงใน App เพื่อยืนยันการลงทะเบียน
- การลงทะเบียนเสร็จสมบูรณ์ ครั้งต่อไปเมื่อ Login จะต้องกรอก OTP ทุกครั้ง
การจัดการ TOTP โดย Admin
ผู้ดูแลระบบสามารถดำเนินการต่อไปนี้:
- Reset TOTP ของผู้ใช้ — หากผู้ใช้เปลี่ยนสมาร์ทโฟนหรือลบ Authenticator App ผู้ดูแลระบบสามารถ Reset TOTP ให้ผู้ใช้ลงทะเบียนใหม่ได้ ที่ Users > User Management เลือก User แล้วคลิก Reset TOTP
- Disable TOTP สำหรับผู้ใช้เฉพาะราย — สามารถยกเว้น TOTP สำหรับผู้ใช้บางรายหรือบาง Group ได้จาก Applied Scope
- ตรวจสอบสถานะ Enrollment — ดูว่าผู้ใช้รายใดลงทะเบียน TOTP แล้วบ้าง
การแก้ไขปัญหา (Troubleshooting)
- รหัส OTP ไม่ถูกต้อง — สาเหตุหลักคือเวลาของสมาร์ทโฟนและ VDC ไม่ตรงกัน ให้ตรวจสอบว่าทั้งสองฝั่งใช้ NTP Sync เวลาอยู่ หากใช้ Google Authenticator ให้เข้าไปที่ Settings > Time correction for codes > Sync now
- ผู้ใช้ทำสมาร์ทโฟนหาย — Admin ต้อง Reset TOTP ให้ผู้ใช้ จากนั้นผู้ใช้สามารถลงทะเบียนใหม่กับสมาร์ทโฟนเครื่องใหม่
- ผู้ใช้ไม่สามารถสแกน QR Code ได้ — สามารถใช้วิธี Manual Entry แทน โดยกรอก Secret Key ที่แสดงใต้ QR Code เข้าใน Authenticator App
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น