Настройка входа через TOTP в Trusted.ID

📋 Эта инструкция входит в серию статей по настройке способов входа. Подробнее читайте в инструкции Способы входа и настройка виджета

В этом руководстве вы узнаете, как подключить аутентификацию по одноразовым паролям TOTP к системе Trusted.ID.

Кому подходит эта инструкция:

• Администраторам — для настройки метода входа в системе.
• Пользователям — для привязки TOTP к своему профилю.

Настройка входа через TOTP состоит из нескольких ключевых этапов:

• Настройка аутентификации для администраторов
• Привязка TOTP для пользователей

---

Общая информация

TOTP (Time-based One-Time Password) — это алгоритм генерации одноразовых паролей, действительных в течение короткого промежутка времени.

💡 Для создания способа входа основанного на HOTP воспользуйтесь инструкцией Настройка аутентификации через HOTP.

Главное отличие TOTP от HOTP — генерация пароля на основе текущего времени. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (обычно — 30 секунд).

Основные компоненты:

• Сервер аутентификации — сервер, который генерирует секретный ключ и проверяет введенные коды.
• Аутентификатор — приложение, хранящее секретный ключ и генерирующее текущий OTP.
• Секретный ключ — общая для сервера и приложения база, используемая для генерации кодов.

Процесс работы TOTP

1. Предварительная настройка

   • Администратор создает способ входа TOTP и активирует его для виджетов нужных приложений.
   • Пользователь в своем профиле добавляет новый идентификатор TOTP, сканируя QR-код с секретным ключом через приложение-аутентификатор.

2. Генерация и проверка кода

   • Приложение-аутентификатор вычисляет одноразовый пароль на основе секретного ключа и текущего временного интервала (обычно 30 секунд) с использованием алгоритма SHA1, SHA256 или SHA512.
   • Когда пользователь вводит код на форме входа, сервер повторно вычисляет ожидаемый код по тому же секрету и текущему времени.
   • Если введенный код совпадает с ожидаемым, пользователю предоставляется доступ.

🚨 Важно: Время на устройстве пользователя и на сервере должно быть синхронизировано. Несовпадение времени — самая частая причина отказа кода. Для компенсации небольшой разницы во времени сервер может принимать коды из соседних временных интервалов (обычно ±1 интервал).

---

Настройка аутентификации для администраторов

Шаг 1. Создание способа входа

1. Перейдите в кабинет администратора → вкладка Настройки.

💡 Чтобы создать способ входа для организации, откройте кабинет организации. Если способ входа нужен для конкретного приложения, откройте настройки этого приложения.

1. Найдите блок Способы входа и нажмите Настроить.
2. В открывшемся окне нажмите кнопку Создать .
3. Откроется окно со списком шаблонов.
4. Выберите шаблон TOTP.

5. Заполните форму создания:

   Основная информация

   • Имя — Название, которое увидят пользователи.
   • Описание (опционально) — Краткое описание.
   • Логотип (опционально) — Можно загрузить свою иконку, или будет использована стандартная.

   Параметры

   • Количество цифр — Количество цифр в одноразовом пароле (обычно 6).
   • Период действия — Время действия одноразового пароля в секундах (рекомендуется 30).
   • Алгоритм — Алгоритм хеширования (SHA1, SHA256 или SHA512) (обычно SHA-1).

   Дополнительные настройки

   • Публичный способ входа — Включите, если хотите, чтобы этот способ входа можно было добавить в другие приложения системы (или организации), а также в профиль пользователя в качестве идентификатора внешнего сервиса.
   • Публичность — Настройте уровень публичности по умолчанию для идентификатора внешнего сервиса в профиле пользователя.

6. Нажмите Создать.

После успешного создания новый способ входа появится в общем списке провайдеров.

Шаг 2. Добавление провайдера TOTP на виджет

Чтобы пользователи увидели кнопку TOTP на форме авторизации, нужно активировать эту функцию в настройках виджета:

1. В общем списке провайдеров найдите созданный способ входа.
2. Включите переключатель на панели с провайдером.

Проверка: После сохранения откройте форму входа в тестовом приложении. На виджете должна появиться новая кнопка с логотипом TOTP.

---

Привязка TOTP для пользователей

📌 Инструкция предназначена для пользователей, которым необходимо выполнить вход в систему через TOTP.

Шаг 1. Установка приложения-аутентификатора

На ваше мобильное устройство необходимо установить приложение, которое генерирует TOTP-коды.

Самые популярные варианты:

• Яндекс Ключ (Яндекс)
• Google Authenticator (Google)

💡 Убедитесь, что время на вашем мобильном устройстве настроено автоматически (через сеть). Неправильное время — самая частая причина того, что коды не принимаются.

Шаг 2. Добавление TOTP-идентификатора в профиль

1. Перейдите в свой Профиль.

2. Нажмите Добавить в блоке Идентификаторы.

   

3. В открывшемся окне выберите способ входа TOTP.

   

4. Отсканируйте QR-код с помощью приложения-аутентификатора.

   

5. Введите код из приложения и подтвердите.

💡 Совет: Если идентификатор уже привязан к другому пользователю, необходимо удалить его из профиля этого пользователя, а затем привязать на новом аккаунте.

Шаг 3. Проверка

1. Перейдите на страницу входа с включенным способом входа TOTP.
2. Выберите иконку способа входа TOTP.

3. Откроется форма для ввода кода. Не закрывая страницу, откройте приложение-аутентификатор на своем телефоне.

   

4. Найдите сервис, соответствующий Trusted.ID (или названию приложения) и введите свой логин и 6-значный код в поле на форме входа.

   Пример отображения кода в приложении:

   

5. Нажмите кнопку Подтвердить.

🔄 Если код не принимается: Убедитесь, что время на вашем телефоне и сервере синхронизировано. Попробуйте подождать генерации следующего кода (новый появится через 30 секунд). Если проблема не исчезает, обратитесь к администратору.

---

Смотрите также

• Общее руководство по настройке способов входа — обзор всех доступных методов аутентификации.
• Личный профиль пользователя — как добавлять и удалять другие идентификаторы.

Предыдущая

Следующая