บทนำ
Multi-Factor Authentication (MFA) เป็นการเพิ่มชั้นความปลอดภัยให้กับการเข้าใช้งาน โดยผู้ใช้ต้องยืนยันตัวตนด้วย factor ที่สอง นอกเหนือจากรหัสผ่าน Sangfor Access Secure รองรับ MFA หลายรูปแบบเพื่อปกป้อง account จากการถูก compromise
ข้อกำหนดเบื้องต้น (Prerequisites)
- มีสิทธิ์ผู้ดูแลระบบบน Sangfor Access Secure Console
- กำหนดค่า primary Authentication Source (เช่น Password หรือ AD) เรียบร้อยแล้ว
- สำหรับ SMS MFA: มี SMS gateway ที่กำหนดค่าใน IDaaS
- สำหรับ FIDO2: มี USB security key หรือ device ที่รองรับ biometric authentication (Touch ID, Windows Hello)
- สำหรับ Email MFA: ผู้ใช้ต้องมี email address ใน Universal Directory
ประเภท MFA ที่รองรับ
- TOTP (Time-based One-Time Password): ใช้ authenticator app เช่น Google Authenticator, Microsoft Authenticator สร้างรหัสที่เปลี่ยนทุก 30 วินาที
- FIDO2: ใช้ USB security key หรือ biometric authentication (Touch ID, Windows Hello)
- Email Address: ส่งรหัสยืนยันไปยัง mailbox ของผู้ใช้
- SMS: ส่งรหัสยืนยันไปยังเบอร์มือถือผู้ใช้ (ต้องใช้ third-party SMS สำหรับ initial authentication)
ขั้นตอนการตั้งค่า (Configuration Steps)
- เข้าสู่ Sangfor Access Secure Console
- ไปที่ Platform Management > Identity Management > Authentication Settings > Multi-Factor Authentication
- เลือก MFA method ที่ต้องการเปิดใช้งาน เช่น TOTP, FIDO2, Email Address หรือ SMS โดยคลิก toggle ของแต่ละวิธี
- ตั้งค่ารายละเอียดของแต่ละ method:
- TOTP: ผู้ใช้จะต้องสแกน QR code ครั้งแรกเพื่อผูกบัญชีกับ authenticator app
- FIDO2: ลงทะเบียน security key ครั้งแรกที่ login
- Email/SMS: ตรวจสอบว่า user มี email/mobile ใน profile
- เปิดใช้งานการบังคับ MFA สำหรับ application ผ่าน Identity Provider หรือ Login Page settings ของ application นั้น
- คลิก Save
การตรวจสอบ (Verification)
ทดสอบ login ด้วยบัญชีผู้ใช้ หลังจากกรอก username/password สำเร็จ ระบบจะขอ MFA factor ที่สอง เมื่อกรอก/ยืนยันสำเร็จจึงจะเข้าสู่ระบบได้
หมายเหตุ (Notes)
- การ unbind TOTP ของผู้ใช้ ทำได้ที่ User Details page โดยคลิก Delete ที่ TOTP ในส่วน Multi-Factor Authentication
- SMS Voice OTP ไม่แนะนำสำหรับ initial authentication
- FIDO2 ให้ความปลอดภัยสูงสุดเพราะใช้ public key cryptography ป้องกัน phishing ได้
- ควรเปิดใช้งาน MFA หลายรูปแบบเพื่อให้ผู้ใช้มีทางเลือก backup เมื่อ method หลักใช้ไม่ได้
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น