Autenticazione a due fattori

L’autenticazione a due fattori (2FA) è un sistema molto sicuro per proteggere l’accesso al proprio account. Funziona richiedendo di identificarsi utilizzando due oggetti, o fattori, diversi quando si accede al Dominio. Il secondo fattore è legato a qualcosa che si «possiede» (per esempio uno smartphone). Si può pensare ai due fattori come qualcosa che si conosce (la propria password) e qualcosa che si possiede (il proprio smartphone).

Normalmente si utilizzano il proprio nome utente e la propria password per accedere al Dominio, mentre con l’autenticazione a due fattori si utilizzeranno un nome utente, una password ed un codice (o token). Il codice è un numero unico che viene generato tramite un’app dedicata e cambia continuamente. Poiché un unico cellulare è in grado di generare il codice ed il cellulare si può ragionevolmente pensare che sia posseduto da una sola persona, anche se qualcuno riuscisse ad indovinare o rubare la password, se l’autenticazione a due fattori viene abilitata, non sarà possibile accedere ad un account di Dominio senza dover rubare anche lo smartphone.

Attivazione

L’attivazione dell’autenticazione a due fattori avviene in due modalità:

  1. User-activated: l’utente accede alla propria pagina personale (vedere il menu di scelta rapida nel capitolo L’interfaccia utente) e clicca l’apposito link nella sezione Two-Factor;

  2. Admin-activated: un amministratore con il permesso di Manage user (per ulteriori informazioni, vedere I Profili) abilita, nel riquadro dei dettagli utente, l’opzione User will be required to have the two-factor authentication active.

Modalità user-activated

Cliccando l’apposito link nella sezione Two-Factor della propria pagina personale, viene visualizzato un QR code che deve essere scansionato con una qualsiasi applicazione che supporti lo standard Google Authenticator (per esempio Authy, Google Authenticator, Duo o Microsoft Authenticator). Qualora si fosse impossibilitati alla scansione del QR code si può cliccare sul link Can’t read? che permette la visualizzazione del codice di sicurezza da utilizzare in alternativa al QR code. La procedura di attivazione dell’autenticazione a due fattori può essere iniziata solo l’utente ha impostato nella scheda Personal Info un indirizzo e-mail e ha concluso correttamente la procedura di validazione; in caso contrario il link di attivazione non è disponibile e l’utente viene avvisato tramite un messaggio.

Prima di rendere attiva l’autenticazione a due fattori, il sistema richiederà una conferma e si dovrà inserire nell’apposito campo il codice di autenticazione a 6 cifre riportato dall’app. Solo a seguito di questa verifica l’utente sarà a tutti gli effetti abilitato all’utilizzo del 2FA.

Durante la fase di sign-in tenere a portata di mano l’app e riportare il codice visualizzato quando richiesto da Control Center.

Modalità admin-activated

Selezionare l’utente a cui si vuole forzare l’utilizzo dell’autenticazione a due fattori dalla cartella Users e attivare l’opzione User will be required to have the two-factor authentication active. Al primo tentativo di connessione al Dominio, l’utente sarà obbligato ad attivare l’autenticazione a due fattori con una procedura simile a quella descritta nel paragrafo Modalità user-activated.

Disattivazione

L’autenticazione a due fattori, una volta attivata, può essere disattivata entrando nella propria pagina personale (vedere il menu di scelta rapida nel capitolo L’interfaccia utente) e cliccando l’apposito link nella sezione Two-Factor, tuttavia se un utente è stato forzato all’attivazione dell’autenticazione a due fattori, non potrà procedere alla sua disattivazione fino a quando un amministratore non disabilita l’opzione User will be required to have the two-factor authentication active.

Reset

Nel caso in cui non sia più possibile accedere all’applicazione di autenticazione, è possibile chiedere al sistema di ripristinare l’autenticazione a due fattori tramite il link Can’t access disponibile nella schermata di accesso di Control Center. Se la richiesta è andata a buon fine, al successivo tentativo di acceso al Dominio, utilizzando le proprie credenziali, verrà riproposta la stessa procedura di attivazione descritta nel paragrafo Modalità user-activated.