Настройки

Справочник Настройки предназначен для определения общих настроек системы Допуск.

База данных геолокации

Для того, чтобы в личном кабинете на вкладке Устройства отображалась геолокация устройства с которого был совершён вход, необходимо загрузить в Систему базу данных геолокации в формате mmdb.

Сделать это можно, указав в Настройки -> Единая точка входа -> База данных геолокации ссылку на скачивание. После нажатия на кнопку Сохранить Система автоматически загрузит базу данных геолокации и запишет результат выполнения в Журнал событий.

Ссылку на бесплатное скачивание баз данных можно взять на сайте https://db-ip.com или https://www.maxmind.com

Пример ссылки с сайта https://db-ip.com:

https://download.db-ip.com/free/dbip-city-lite-2025-01.mmdb.gz

Информация

При использовании баз данных с сайта https://db-ip.com названия городов будут отображаться латиницей.

Информация

На данный момент для скачивания баз данных геолокации с сайта https://www.maxmind.com необходима регистрация.

Единая точка входа

Технология единого входа Single sign-on SSO — метод аутентификации, который позволяет пользователям безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учетных данных.

URL адрес Единой точки входа можно найти в Настройки -> Единая точка входа.

Внимание

Технология единого входа работает только по протоколу https

Информация

Технология единого выхода как правило реализована на стороне сервиса из которого совершается выход. По этой причине единый выход может работать некорректно.

Basic аутентификация

Basic аутентификация может понадобиться, чтобы получить доступ к приложению с помощью http клиента. Например, при использовании клиента командной строки Curl, можно использовать следующую команду:

curl <APPLICATION-URL> -L -u <USER>:<PASSWORD>

Basic аутентификация не является безопасной, так как значение полей <USER> и <PASSWORD> передаются по сети в виде открытого текста. Следовательно, необходимо учитывать два основных момента при использовании такого режима:

• Рассмотрим на примере использования Curl. Если <APPLICATION-URL> вашего сервиса отличается от адреса сервера Единой точки входа, то Curl не будет отправлять заголовок Basic аутентификации. Такое поведение Curl можно переопределить флагом --location-trusted:

  curl --location-trusted -u <USER>:<PASSWORD> <APPLICATION-URL>
  

  Внимание

  Опасность заключается в том, что при таком переопределении значения <USER> и <PASSWORD> будут отправляться в открытом виде при каждом перенаправлении. Это позволит сервису, через который происходит перенаправление, завладеть логином и паролем пользователя.

• Так как при включении Basic аутентификации значение полей <USER> и <PASSWORD> передаются по сети в виде открытого текста, необходимо использовать HTTPS/TLS соединение. Если вам понадобиться обойти проверку сертификата при использовании Curl, используйте флаг --insecure:

  curl --insecure <APPLICATION-URL> -L -u <USER>:<PASSWORD>
  

  Предупреждение

  На данный момент рекомендуется использовать режим Basic аутентификации только во внутренней сети, когда нет доступа Единой точки входа из сети интернет. Это ограничение связано с тем, что в текущей реализации данный режим уязвим к brute-force атакам. То есть не защищён от подбора паролей.

Персональные токены доступа (PAT токены)

Для возможности аутентификации с помощью PAT токенов включить настройку Доступ к PAT токенам. Например, при использовании клиента командной строки Curl, можно использовать следующую команду:

curl --location --request POST "<APPLICATION-URL>" --header "Authorization: Bearer <PAT-TOKEN>"

Стратегия защиты от подбора паролей

В системе поддерживается 2 варианта настройки:

1. IP - вариант защиты от подбора пароля с одного IP.

2. IP и Имя пользователя - вариант защиты от подбора пароля для пользователей, представленных одним IP (такой случай возможен, когда используется механизм преобразования сетевых адресов - NAT).