تخطي إلى المحتوى
وثائق TSplus ®

المصادقة الثنائية

فهرس المحتويات

تضيف المصادقة الثنائية طبقة إضافية من الأمان و يمنع الوصول إلى جلسة مستخدميك حتى لو كان لدى شخص ما معرفته بكلمة المرور الخاصة بهم .

يتم استخدام مجموعة من عاملين مختلفين لتحقيق مستوى أعلى من الأمان:

  1. شيء يعرفونه، كلمة مرور .

  2. شيء لديهم، أ جهاز - مثل الهاتف الذكي - مع تطبيق مصادقة مثبت. .

يمكنك استخدام أحد تطبيقات المصادقة التالية للمتابعة. هذه التطبيقات متاحة عبر مجموعة واسعة من المنصات:

في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى جلسته البعيدة، سيحتاج إلى كلمة المرور ورمز التحقق المتاح من هاتفه المحمول. بمجرد تكوينه، ستعرض تطبيق المصادقة رمز تحقق للسماح له أو لها بتسجيل الدخول في أي وقت. يعمل حتى إذا كان جهازه غير متصل بالإنترنت.

أو يمكنك اختيار تلقي رموز التحقق عبر رسالة قصيرة في هذه الحالة، سيتعين عليك إنشاء حساب مجاني على تويليو .

ال رموز 2FA المولدة هي TOTP (كلمة مرور لمرة واحدة تعتمد على الوقت)، وبالتالي فهي للاستخدام الفردي.

لذلك، لا يمكن إعادة استخدام رمز 2FA الذي تم استخدامه بالفعل. هذا يمنع سرقة ثم استخدام رمز 2FA من خلال مراقبة المستخدم أثناء إدخاله رمزه.

يتطلب المصادقة الثنائية TSplus Remote Access الويب المحمول أو المؤسسة الإصدارات.

يدعم المصادقة الثنائية:

  • TSplus Remote Access بوابة الويب لكل من اتصالات HTML5 و Remoteapp

  • عميل اتصال TSplus، للعملاء الذين تم إنشاؤهم منذ الإصدار 15.30.3.15، مع دعم 2FA مفعل بشكل صريح. انظر دعم مولد العميل المحمول للمصادقة الثنائية

  • 2FA يتعلق بمستخدمي Windows وليس ببيانات اعتماد الويب

وضع المصادقة هذا لا يدعم تسجيل الدخول من خلال عميل Microsoft Remote Desktop القياسي (mstsc.exe).

لتوفير حل أكثر أمانًا، يتم رفض اتصالات RDP للمستخدمين الذين لديهم 2FA مفعل.

كشرط أساسي، يجب أن يكون خادم TSplus والأجهزة في الوقت المحدد. انظر إلى تزامن الوقت و الإعدادات أقسام لمزيد من معلومات التكوين.

يمكن العثور على ميزة المصادقة الثنائية في علامة التبويب الإضافات في أداة الإدارة:

Activating-Two-Factor-Authentication 1

قم بتنفيذ الخطوات التالية لتمكين المصادقة الثنائية لخادم TSplus الخاص بك أو نشره. إذا كان نشر TSplus الخاص بك مُعدًا لاستخدام خوادم متعددة، قم بتنفيذ هذه المهمة على خادم TSplus المعروض كنقطة دخول واحدة للمستخدمين أو الذي لديه دور الوكيل العكسي.

  1. افتح تطبيق إدارة المصادقة الثنائية. يتم عرض حالة المصادقة الثنائية وحالة الترخيص:

Two-factor Authentication

بشكل افتراضي، يتم تمكين 2FA لخادم بوابة TSplus وخوادم التطبيقات المستقلة.

يمكنك تمكينه لخوادم تطبيقات TSplus فقط، عن طريق إدخال عنوان URL لخادم المصادقة:

Two-factor Authentication Application Server

أو قم بتعطيله:

Two-factor Authentication is disabled

بمجرد تمكين المصادقة الثنائية، يمكنك تكوين المستخدمين للمصادقة الثنائية.

  1. من تطبيق إدارة المصادقة الثنائية، انقر على الـ إدارة المستخدمين علامة التبويب.

  2. ثم، انقر على أضف لاختيار المستخدمين و/أو مجموعات المستخدمين. اختر المستخدمين أو المجموعات تفتح الصندوق.

Add Users and Groups

  1. أضف عددًا غير محدود من المستخدمين والمجموعات حسب الحاجة ثم انقر حسناً يتم إضافة المستخدمين والمجموعات إلى القائمة وتمكينهم من المصادقة الثنائية.

إليك الأوامر لإضافة مستخدمين/مجموعات
3 أنواع من الحجج الممكنة:

فقط اسم النطاق
TwoFactor.Admin.exe /addusers domainName1

  • يضيف المستخدم بالقيم الافتراضية (طريقة الاستقبال = تطبيق، حقول البريد الإلكتروني والهاتف غير مدخلة)

اسم النطاق وطريقة الاستقبال
TwoFactor.Admin.exe /addusers domainName1;SMS

  • يضيف المستخدم بطريقة الاستلام المرغوبة، لكنه لا يحاول تفعيلها

اسم النطاق، طريقة الاستقبال، حقل الهاتف (حتى لو كان فارغًا)، حقل البريد الإلكتروني (حتى لو كان فارغًا)
*TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606; [email protected] اسم النطاق2;البريد الإلكتروني;; [email protected] domainName3;SMS;+33606060607;domainName4

  • نفس السلوك كما في واجهة المستخدم، عندما نضيف مستخدمًا، ثم نقوم بتحريره بمعلومات صحيحة: نحاول تفعيل المستخدم

كما هو موضح في المثال الأخير، يمكن الإشارة إلى عدة مستخدمين (مفصولين بمسافة). يتم فصل الحقول المختلفة للمستخدم بواسطة فاصلة منقوطة.

للمجموعات الفردية:
TwoFactor.Admin.exe /addgroups group1 group2 group3

على نفس الشريحة، يمكنك تعديل طريقة تلقي المستخدمين لرموز التحقق عن طريق اختيار مستخدم والنقر على زر "تعديل":

Edit Users

يتلقى المستخدم رموز التحقق على تطبيق المصادقة بشكل افتراضي. يمكنك اختيار أن يتلقاها عبر الرسائل القصيرة أو البريد الإلكتروني من خلال تحديد الخيار.

تم اختيار SMS وأضيف رقم هاتف المستخدم في الحقل أو تم اختيار EMAIL وأضيف بريد المستخدم الإلكتروني.

لإزالة المستخدمين أو المجموعات، حدد المستخدم أو المجموعة ثم انقر على إزالة يتم عرض رسالة تأكيد.

Remove Users and Groups

انقر نعم تمت إزالة المستخدم أو المجموعة من القائمة الخاصة بهما ولن يتمكنوا من الاتصال باستخدام المصادقة الثنائية بعد الآن.

في حالة فقدان جهاز المصادقة لمستخدم، أو إذا كان المستخدم يحتاج إلى عرض رمز QR السري مرة أخرى، يجب عليك إعادة تعيين إعدادات مصادقة المستخدم.

  1. من تطبيق إدارة المصادقة الثنائية، انقر على الـ إدارة المستخدمين علامة التبويب.

  2. اختر مستخدمًا أو أكثر مفعلين ثم انقر على إعادة تعيين يتم عرض رسالة تأكيد.

Reset Users

  1. انقر نعم سيتم عرض رمز QR جديد للمستخدمين المحددين عند تسجيل الدخول التالي وسيتعين عليهم مسحه ضوئيًا في تطبيق المصادقة على أجهزتهم.

يمكنك أيضًا تعديل رقم هاتف المستخدم، حتى يتمكن من استلام رمز التحقق على جهازه الجديد.

بمجرد تمكين المستخدم لاستخدام المصادقة الثنائية، ستظهر رسالة تفعيل عند تسجيل دخوله بنجاح في المرة التالية من بوابة TSplus على الويب.

Activate Two-factor Authentication

لإكمال الخطوات المطلوبة، لديك خياران: إما توليد الرموز عبر تطبيق المصادقة، أو جعل المستخدم يتلقى الرموز عبر الرسائل القصيرة.

يجب على المستخدم تثبيت تطبيق مصادقة على جهاز محمول، مثل هاتفه الذكي.

يمكنك استخدام أحد تطبيقات المصادقة التالية للمتابعة. هذه التطبيقات متاحة عبر مجموعة واسعة من المنصات:

يرجى استخدام وثائق كل تطبيق لمزيد من التفاصيل حول كيفية المتابعة لإضافة حساب TSplus الخاص بك.

لكي يتلقى المستخدم رموز التحقق عبر الرسائل القصيرة، يجب عليك أولاً تفعيلها. انقر على تكوين الرسائل القصيرة علامة التبويب:

تستخدم TSplus Twilio من أجل إرسال رموز التحقق عبر الرسائل القصيرة. Twilio هي منصة سحابية تابعة لجهة خارجية، وليست مرتبطة بـ TSplus.

  1. قم بإنشاء حساب مجاني على تويليو بالنقر على الزر أدناه "ابدأ تجربتك المجانية مع Twilio":

Configure SMS

  1. على جهازك لوحة معلومات حساب Twilio ستحتاج إلى تفعيل رقم التجربة الخاص بك:

Configure SMS

  1. الخطوة التالية ضرورية فقط للإصدارات التجريبية. إنها تتيح لـ Twilio التحقق من رقم الهاتف الفعلي الذي سيتم إرسال الرسائل القصيرة عليه.

أدخل هذا الرقم تحت قائمة "أرقام الهواتف" - "معرفات المتصلين الموثوق بهم" علامة التبويب :

Configure SMS

  1. ستتمكن بعد ذلك من إدخال SID حسابك، ورمز المصادقة و رقم التجربة كما هو رقم الهاتف على الـ تكوين الرسائل القصيرة علامة تبويب TSplus:

Configure SMS

Configure SMS

ثم انقر على حفظ. ستظهر الرسالة التالية:

Configure SMS

يمكنك إدارة اشتراكك في Twilio على الـ إدارة اشتراك Twilio القسم، في أسفل الـ تكوين الرسائل القصيرة قم بإدارة حسابك، راقب حالة الخدمة أو تواصل مع مركز دعم Twilio فقط من خلال النقر على الأزرار المقابلة.

لكي يتلقى المستخدم رموز التحقق عبر البريد الإلكتروني، يجب أولاً تكوين بريد SMTP الخاص بك.

Configure EMAIL

بمجرد أن يقوم المستخدم بتكوين حسابه في TSplus في تطبيق المصادقة الخاص به، سيكون قادرًا على الاتصال باستخدام كلمة المرور الخاصة به والرمز المقدم من تطبيق المصادقة الخاص به، عبر الرسائل القصيرة أو البريد الإلكتروني.

من بوابة TSplus Remote Access على الويب:

Login Using Two-factor Authentication From Web Portal

من العميل الذي تم إنشاؤه بواسطة TSplus:

Login Using Two-factor Authentication From Generated Client

يجب أن تشارك خوادم تطبيقات TSplus وأجهزة العملاء نفس الوقت. وهذا يعني أن الوقت والتاريخ للخادم يجب أن يتزامنا مع خادم الوقت. يجب أن تحتوي أجهزة العملاء أيضًا على تزامن الوقت، بغض النظر عن المنطقة الزمنية التي تم تكوينها عليها.

إذا كانت طلب المصادقة يأتي من جهاز تاريخ ووقته غير متزامنين، أو إذا كان تاريخ ووقت الخادم غير متزامنين، فقد يتم رفض هذا الطلب.

تحقق المعلومات بين الجهاز والخادم يتعلق بتوقيت UTC.

في الـ الإعدادات القسم، يتم استخدام معلمة التباين لإدارة فترة صلاحية الرمز، في فترات زمنية تبلغ 30 ثانية.

مثال على التحقق أو المصادقة الصحيحة:

  • الخادم متزامن مع خادم الوقت، المنطقة الزمنية هي UTC + 2، الساعة 2:30 مساءً
  • الجهاز متزامن مع خادم الوقت، المنطقة الزمنية هي UTC + 1، الساعة 1:30 مساءً
  • تم تكوين معلمة التباين عند 60، أي فترة صلاحية الرمز 30 دقيقة
  • بالإشارة إلى وقت UTC، فإن وقت الجهاز ووقت الخادم متطابقان.

مثال على التحقق من صحة أو مصادقة غير صالحة:

  • الخادم متزامن مع خادم الوقت، المنطقة الزمنية هي UTC + 2، الساعة 2:30 مساءً
  • الجهاز غير متزامن مع خادم الوقت، المنطقة الزمنية هي UTC-1، الوقت مضبوط يدويًا على 1:30 مساءً
  • تم تكوين معلمة التباين عند 60، أي فترة صلاحية الرمز 30 دقيقة
  • الوقت الخادم المشار إليه بتوقيت UTC هو 12:30 صباحًا
  • الوقت الذي تم الإبلاغ عنه بواسطة الجهاز، المشار إليه بوقت UTC هو 2:30 مساءً
  • الفرق هو 120 دقيقة، لذا تم رفض رمز التحقق.

تتيح لك علامة التبويب الإعدادات قائمة المستخدمين المسموح لهم، لكي يتمكنوا من الاتصال باستخدام عميل RDP، دون الحاجة إلى إدخال رمز المصادقة الثنائية.

انقر على زر "إضافة" لإضافة مستخدم وإزالة مستخدم عن طريق تحديده والنقر على زر "إزالة".

Two-factor Authentication-Settings

يتيح لك علامة التبويب المتقدمة تكوين إعدادات المصادقة الثنائية بعمق.

Two-factor Authentication-Advanced-Settings

تباين

يمكنك تعديل قيمة التباين، مما يتيح لك تعيين وقت التحقق من رمز التحقق.

اختلاف قدره 3 يعني أن نفس رمز التحقق يبقى صالحًا لمدة 90 ثانية للخلف والأمام من فترة صلاحيته الأصلية البالغة 30 ثانية. الافتراضي هو 480، مما يعني 480 × 30 ثانية = 4 ساعات.

Two-factor Authentication-Advanced-Settings

المصدر

سلسلة تشير إلى اسم خدمة المصادقة الثنائية. يتم عرض المصدر على تطبيق الهاتف المحمول للعميل ويحدد الخدمة المرتبطة برمز التحقق الذي تم إنشاؤه. بشكل افتراضي، يتكون من اسم الخادم مع TSplus.

Two-factor Authentication-Advanced-Settings

صلاحية بعد الجلسة الأولى

الفترة التي يمكن خلالها للمستخدم فتح جلسة دون الحاجة إلى إعادة التحقق من رمز المصادقة الثنائية السابق. تتيح هذه الإعدادات للمستخدمين فتح التطبيقات من بوابة تطبيق الويب بشكل متتالي. الافتراضي هو 480 دقيقة.

Two-factor Authentication-Advanced-Settings

صلاحية قبل الجلسة الأولى

الفترة التي يمكن خلالها للمستخدم فتح جلسة بعد التحقق من رمز المصادقة الثنائية من بوابة الويب أو من التطبيق المحمول، بالثواني. القيمة الافتراضية هي 3600 ثانية.

Two-factor Authentication-Advanced-Settings

أرقام

عدد الأرقام التي سيتم عرضها للمستخدم. يرجى ملاحظة أن هذا الإعداد قد لا يكون مدعومًا من قبل تطبيقات المصادقة. يجب أن يكون هذا الرقم أكبر من أو يساوي 4 وأقل من أو يساوي 12. القيمة الافتراضية هي 6.

Two-factor Authentication-Advanced-Settings

رسالة رمز التحقق عبر الرسائل القصيرة

تم إرسال رسالة إلى المستخدمين تطلب رمز التحقق إذا تم تكوينهم لتلقيه عبر الرسائل القصيرة. يجب أن تحتوي هذه الرسالة على عنصر النائب %CODE% الذي سيتم استبداله برمز التحقق الفعلي. الافتراضي هو: رمز التحقق الخاص بك من %ISSUER% هو: %CODE%

Two-factor Authentication-Advanced-Settings

فترة أمان الرسائل القصيرة

تبدأ الفترة عندما يطلب المستخدم رمز المصادقة عبر الرسائل القصيرة. خلال هذه الفترة، يمكن للمستخدم طلب رمز مصادقة جديد عبر الرسائل القصيرة حتى يصل عدد الرسائل القصيرة المطلوبة إلى قيمة العتبة (بالساعات، القيمة الافتراضية هي 24 ساعة).

Two-factor Authentication-Advanced-Settings

عتبة أمان الرسائل القصيرة

يحدد العتبة الحد الأقصى لعدد رموز المصادقة عبر الرسائل القصيرة التي يمكن لكل مستخدم طلبها خلال فترة زمنية محددة (الافتراضي هو 6).

Two-factor Authentication-Advanced-Settings

هل ترغب في رؤية الموقع بلغة مختلفة؟

إنجليزية
English Español Deutsch Italiano Português Français 简体中文 العربية
تغيير اللغة