Sustav AAI@EduHr omogućuje dvostupanjsku autentikaciju korisnika za usluge koje tu mogućnost žele implementirati radi povećane razine sigurnosti. Korištenje dvostupanjske autentikacije korisnika nije obavezno.
Dvostupanjska autentikacija izvodi se na način da se kao prvi stupanj koristi metoda autentikacije korisničkom oznakom i lozinkom (iz AAI@EduHr sustava), a kao drugi stupanj neki od sustava koji generira jednokratne lozinke (tokene).
Trenutno podržani sustavi koji generiraju jednokratne tokene su:
- OTP (One Time Password) via SMS (uz korištenje mobilnog telefona korisnika) - korisnik upisuje token kojeg dobiva putem SMS-a na registirani telefonski broj
- Yubico Yubikey (https://www.yubico.com(link is external)) uređaj (kojeg korisnik mora posjedovati) - korisnik prenosi token putem Yubikey uređaja
- TOTP (Time-based One Time Password) uz korištenje posebne aplikacije (npr. Google Authenticator, FreeOTP ili OpenOTP) koju korisnik mora instalirati na svoje računalo - korisnik upisuje token koji mu je izgenerirala aplikacija (temeljem registriranog tajnog ključa).
Prije prve dvostupanjske autentikacije korisnik mora registirati metodu (metode) koju će koristiti. Ova registracija obavlja se automatski pri prvom pokušaju autentikacije, a podaci se čuvaju u središnjem sustavu AAI@EduHr te vrijede za sve usluge koje prihvaćaju odabranu metodu. Registraciju za korisnika može obaviti i matična ustanova ili administrator sustava koji generira jednokratne tokene.
VAŽNO!
- Kada korisnik registrira metodu autentikacije za drugi stupanj primit će na elektroničku adresu zapisanu u njegovom elektroničkom identitetu poveznicu/link putem koje/kojeg mora potvrditi registraciju metode (autentikacijskog mehanizma).
- Za promjenu registriranih kontakt podataka vezanih uz neku metodu korisnik se mora prijaviti u aplikaciju "MojAAI@EduHr" koja je dostupna na web-adresi https://moj.aaiedu.hr, kliknuti na karticu "Moji podaci" -> "Višestupanjska autentikacija" i u tablici izbrisati krivo registrirani kontakt podatak.
Napomena: Registraciju za korisnika može obaviti i matična ustanova ili administrator sustava koji generira jednokratne tokene.
Dodatne upute (ovisno o autentikacijskom mehanizmu)
OTP via SMS
Ako usluga kojoj pristupate za drugi stupanj autentikacije koristi SMS OTP mehanizam prikazuje se sučelje za registraciju kao na sljedećoj slici. Pri tome korisnik upisuje broj mobitela na koji će primati jednokratne tokene za drugi korak autentikacije.
TOTP - (Time - Based One - Time Password Algorithm)
Ako usluga kojoj pristupate za drugi stupanj autentikacije koristi TOTP mehanizam, prikazuje se sučelje za registraciju kao na sljedećoj slici. Korisniku se ispisuje "Tajni kod" sa QR kodom. Za ovu metodu potrebno je na korisnikovo računalo ili mobilni uređaj preuzeti aplikaciju Google Authenticator (ili neku sličnu aplikaciju, npr. FreeOTP ili OpenOTP) koja će generirati i ispisati jednokranu lozinku nakon izravnog unošenja "Tajnog koda" ili skeniranja QR koda. Kod je potrebno čuvati jer u slučaju promjene aplikacije koju koristite (npr. umjesto aplikacije Google Authenticator odlučili ste koristiti FreeTOTP) možete koristiti isti kod.
Yubico Yubikey
Ako usluga kojoj pristupate za drugi stupanj autentikacije traži korištenje Yubico Yubikey uređaja prikazuje se sučelje za registraciju Yubikey uređaja. Pri tome je potrebno priključiti Yubikey uređaj u računalo i dodirnuti gumb na uređaju (sticku) nakon čega će Yubikey ključ biti automatski aktiviran. Nakon uspješne registracije, autentikacija se obavlja na isti način dodirom gumba na Yubikey uređaju.
Pregled registriranih fatora višestupanjske autentikacije
U aplikaciji moj.aaiedu.hr korisnik može vidjeti registrirane faktore višestupanjske autentikacije vezane uz svoj korisnički račun.
Detaljan prikaz faktora višestupanjske autentikacije.
Brisanje faktora višestupanjske autentikacije
Preko poveznice "Zaboravi autentifikator" moguće je brisanje faktora povezanog s višestupanjskom autentikacijom.
Napomena: