المصادقة الثنائية (2FA)

أمان معزز باستخدام كلمات مرور لمرة واحدة تعتمد على الوقت

يدعم OmniCRM المصادقة الثنائية (2FA) باستخدام كلمات مرور لمرة واحدة تعتمد على الوقت (TOTP). يضيف ذلك طبقة إضافية من الأمان من خلال مطالبة المستخدمين بتقديم كل من كلمة المرور الخاصة بهم ورمز حساس للوقت من تطبيق المصادقة.

انظر أيضًا: إدارة الأذونات للمصادقة الثنائية، تدفقات المصادقة لتفاصيل عملية تسجيل الدخول.

الغرض

توفر المصادقة الثنائية:

1. أمان معزز --- تحمي الحسابات حتى إذا تم اختراق كلمات المرور.
2. امتثال --- تفي بمتطلبات الأمان للصناعات المنظمة.
3. اختيار المستخدم --- اختيارية للمستخدمين، يمكن فرضها حسب الدو�� أو عالميًا.
4. معيار صناعي --- تستخدم بروتوكول TOTP المتوافق مع Google Authenticator وAuthy وMicrosoft Authenticator وغيرها من التطبيقات القياسية.

كيفية عمل المصادقة الثنائية

عندما يتم تفعيل المصادقة الثنائية لمستخدم:

1. الإعداد --- يقوم المستخدم بمسح رمز QR باستخدام تطبيق المصادقة الخاص به أثناء التسجيل.
2. تسجيل الدخول --- بعد إدخال اسم المستخدم / كلمة المرور، يقدم المستخدم الرمز المكون من 6 أرقام من تطبيقه.
3. التحقق --- يتحقق النظام من أن الرمز المعتمد على الوقت يتطابق مع القيمة المتوقعة.
4. الوصول --- يحصل المستخدم على الوصول فقط بعد التحقق من كلا العاملين.

تفعيل المصادقة الثنائية

للمستخدمين الفرديين

يمكن للمستخدمين تفعيل المصادقة الثنائية لحساباتهم الخاصة:

1. انتقل إلى إعدادات المستخدم أو الملف الشخصي
2. اختر تفعيل المصادقة الثنائية
3. امسح رمز QR باستخدام تطبيق المصادقة
4. أدخل رمز التحقق لتأكيد الإعداد
5. احفظ رموز النسخ الاحتياطي في مكان آمن

النسخ الاحتياطي والاسترداد

رموز النسخ الاحتياطي

عند تفعيل المصادقة الثنائية، يتلقى المستخدمون رموز نسخ احتياطي يمكن استخدامها إذا كان جهازهم غير متاح:

• كل رمز يستخدم مرة واحدة
• قم بتخزين الرموز بأمان خارج الإنترنت
• قم بإنشاء رموز جديدة إذا تم استخدام جميع الرموز

إعادة تعيين المسؤول

إذا فقد المستخدم الوصول إلى تطبيق المصادقة وتم استنفاد جميع رموز النسخ الاحتياطي، يمكن لمسؤول لديه وصول إلى قاعدة البيانات إعادة تعيين المصادقة الثنائية للمستخدم يدويًا عن طريق مسح حقل totp_secret في قاعدة البيانات. يمكن للمستخدم بعد ذلك إعادة تفعيل المصادقة الثنائية.

تكامل API

تفعيل المصادقة الثنائية لمستخدم

POST /2fa/enable/user/{user_id}

{
  "password": "current_password"
}

تتضمن الاستجابة URI التوفير (لرمز QR) ورموز النسخ الاحتياطي.

التحقق من إعداد المصادقة الثنائية

POST /2fa/verify-setup/user/{user_id}

{
  "code": "123456"
}

التحقق من المصادقة الثنائية أثناء تسجيل الدخول

POST /2fa/verify/user/{user_id}

{
  "code": "123456"
}

ترجع رمز الوصول، ورمز التحديث، وبيانات المستخدم عند التحقق الناجح.

إعادة إنشاء رموز النسخ الاحتياطي

POST /2fa/backup-codes/regenerate/user/{user_id}

يتطلب المصادقة. ترجع مجموعة جديدة من رموز النسخ الاحتياطي.

أفضل الممارسات

• رموز النسخ الاحتياطي أولاً. احفظ دائمًا رموز النسخ الاحتياطي قبل إكمال إعداد المصادقة الثنائية.
• تثقيف المستخدمين. قدم تعليمات واضحة للإعداد والاسترداد.
• عملية إعادة تعيين آمنة. تحقق من هوية المستخدم قبل إعادة تعيين المصادقة الثنائية يدويًا في قاعدة البيانات.

الأسئلة الشائعة

ما هي تطبيقات المصادقة المدعومة؟ أي تطبيق متوافق مع TOTP (Google Authenticator وAuthy وMicrosoft Authenticator و1Password، إلخ).

ماذا أفعل إذا فقدت هاتفي؟ استخدم رمز النسخ الاحتياطي أو اتصل بمسؤول لإعادة تعيين المصادقة الثنائية.

هل يمكنني استخدام الرسائل النصية بدلاً من التطبيق؟ حاليًا، يتم دعم تطبيقات المصادقة TOTP فقط.

هل المصادقة الثنائية مطلوبة؟ يعتمد ذلك على سياسة مؤسستك. عادةً ما تكون المصادقة الثنائية مطلوبة للأدوار الإدارية ودعم الموظفين ولكنها اختيارية لمستخدمي العملاء. لا يفرض النظام المصادقة الثنائية على حسابات العملاء (لا يرى مستخدمو دور العملاء مطالبات تسجيل المصادقة الثنائية).

ما هي مدة صلاحية رموز TOTP؟ يتم تحديث الرموز كل 30 ثانية ولها نافذة زمنية صغيرة للتحقق (تقبل عادةً الرموز من نافذة الـ 30 ثانية الحالية بالإضافة إلى النوافذ السابقة / التالية لتحمل انحراف الساعة).