Autenticazione a più fattori
Traduzione e adattamento a cura di Naonis dell’articolo apparso nel sito del produttore al seguente link.
Per aumentare la sicurezza durante il processo di accesso, è possibile attivare in MailStore Server l’autenticazione a più fattori (MFA) per gli utenti definiti all’interno di MailStore poiché l’applicativo supporta le password monouso basate sul tempo (TOTP) secondo RFC 6238 .
Per la doppia autenticazine, gli utenti necessitano di un dispositivo compatibile con TOTP, ad esempio uno smartphone con un’app di autenticazione installata.
Avviso importante: per poter generare password monouso valide (TOTP), gli orari di sistema di MailStore Server e dei dispositivi finali devono essere sincronizzati.
Contenuti
E’ possibile configurare l’autenticazione a più fattori all’interno della gestione degli utenti del pannello di amministrazione seguendo i passi indicati di seguito.
Accedere come amministratore di MailStore tramite MailStore Client. Fare clic su Strumenti di amministrazione > Utenti e archivi , quindi fare clic su Utenti .
-
- Aprire le proprietà dell’utente per cui vuoi abilitare l’MFA.
- Selezionare la voce MailStore-integrato con MFAdal menu a tendina Autenticazione .
- Confermare con OK.
- La prossima volta che l’utente accede con un client compatibile con MFA (client MailStore, componente aggiuntivo MailStore per Outlook, accesso Web), all’utente sarrà richiesto di scansionare un codice QR con un’app di autenticazione compatibile con TOTP (ad esempio Google Authenticator), quindi sarà necesasrio inserire il codice MFA per completare la configurazione.
- Apri le proprietà dell’utente per cui si desidera disattivare l’MFA.
- Seleziona la voce Integrato in MailStore dal menu a tendina Autenticazione .
- Confermare con OK.
- Le password delle app che potrebbero essere state create rimarranno memorizzate e valide.
Se un utente ha perso il dispositivo su cui era configurato l’MFA o desidera configurare l’MFA su un dispositivo diverso o per qualche altro motivo ha bisogno di configurare nuovamente l’MFA, è possibile reinizializzare l’MFA. Ciò genera un nuovo codice segreto da cui deriveranno le password monouso.
La prossima volta che l’utente accede, gli verrà richiesto nuovamente di completare la configurazione MFA.
Se l’utente non ha ancora completato la configurazione MFA con il proprio dispositivo, questa funzione non sarà disponibile.
- Aprire le proprietà dell’utente per cui si desidera reinizializzare MFA.
- Fare clic sul pulsante Comandi.
- Fare clic su Reinizializza MFA.
- Confermare l’operazione.
Eliminare le password dell’app
Se un utente ha creato una password per l’app per continuare a utilizzare client non compatibili con MFA (attività pianificate, IMAP, API di gestione), puoi eliminarle qui.
Se l’utente non ha creato alcuna password per l’app, questa funzionalità non è disponibile.
Le password delle app possono essere cancellate solo completamente.
- Aprire le proprietà dell’utente di cui desideri eliminare le password dell’app.
- Fare clic sul pulsante Comandi.
- Fare clic su Rimuovi password app.
- Confermare l’operazione.
Se per un utente è stata attivata l’autenticazione a più fattori, la prossima volta che l’utente accede con un client compatibile con MFA (client MailStore, componente aggiuntivo MailStore Outlook, accesso Web), all’utente verrà richiesto di scansionare un codice QR con un’app di autenticazione compatibile con TOTP (ad esempio Google Authenticator). Ciò memorizza il segreto generato in precedenza nell’app e l’app è in grado di generare password monouso valide.
Il codice segreto viene visualizzato sotto il codice QR e può essere copiato negli appunti con un doppio clic per essere eventualmente archiviato in un gestore di password.
Se è stato scansionato il codice QR ed è stato inserito un codice MFA valido, ai successivi tentativi di accesso verrà richiesto solo il codice MFA.
Se il dispositivo con cui viene effettuato l’accesso è attendibile, può essere impostato l’opzione Considera attendibile questo dispositivo per 14 giorni. Quando si imposta questa opzione, sul dispositivo client viene memorizzato un token aggiuntivo, che viene ricevuto durante la procedura di accesso.
Il client MailStore, il componente aggiuntivo per Outlook e la Web Access salvano ciascuno un proprio diverso token.
Il token per MailStore Client e il componente aggiuntivo per Outlook è archiviato nel gestore credenziali di Windows. Non si propaga con i profili “roaming”.
Il token per l’accesso Web viene archiviato nella memoria locale del browser. Quando si accede via Web Access nella modalità di navigazione in incognito del browser , il token non viene mantenuto tra diverse sessioni del browser.
Gestione delle password delle app
Una volta abilitata per un utente l’autenticazione a più fattori, non si potrà più utilizzare password “normale” per accedere con client non compatibili con MFA.
I client che non supportano MFA includono:
- Attività pianificate, che utilizzano il client MailStore in modalità riga di comando
- Client IMAP
- Client API di gestione, come Powershell API-Wrapper e Python API-Wrapper
Per garantire che questi client possano ancora essere utilizzati, gli utenti possono creare password per le app. Queste password sono generate da MailStore e sono caratterizzate da una maggiore complessità.
Le password delle app possono essere gestite solo tramite MailStore Client da utenti con autenticazione integrata in MailStore. Inoltre, è richiesto che sia attivato il diritto di modifica della password
. Le password delle app funzionano anche con MFA disabilitato.
Le password dell’app non possono mai essere usate per accedere con client che supportano MFA.
- Accedere al client MailStore.
- Dalla pagina iniziale, fare clic su Gestisci password .
- Vengono elencati i nomi di contesto delle password delle app create finora.
- Fare clic su Aggiungi per aggiungere una nuova password per l’app.
- I nomi del contesto della password dell’app devono essere univoci e non possono contenere la password dell’app.
- Evidenziare un nome e fai clic su Eliminaper eliminare la password di un’app.