Versions Compared

Old Version 31

changes.mady.by.user Håkan E

Saved on

compared with

New Version 32

changes.mady.by.user Jakob Nilsson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Redigerade texten: Anläggningen måste dessutom ha Inställningen > Addons > "useTwoStepVerification" påslagen. Tog bort Addon då det är missvisande.

...

Tvåstegsinloggning fungerar som ett extra säkerhetsnät där du utöver ditt vanliga användarnamn och lösenord, skyddar ditt konto med en extra säkerhetsdetalj som bara du och applikationen känner till. Detta extra lager ger mer säkerhet till konton med bristfälliga lösenord som skulle kunna leda till allvarliga konsekvenser ifall en obehörig part lyckades logga in.

När tvåstegsinloggning är aktivt, finns det ytterligare alternativ på "Roll-kortet", se bild nedan.


"Aktivera tvåstegsverifiering" (markering 1) aktiverar det för just den här rollen på din anläggning.

"Tvåstegsverifiering giltig i antal dagar" (markering 2) anger hur många dagar inloggning kan göras på klienten innan användaren behöver verifiera sig igen.

Exempel.

Ett värde på 14 innebär att användare måste verifiera sig varannan vecka.

Ett värde på 0 innebär att användare måste verifiera sig varje gång.

Förutsättningar

 För att komma igång med tvåstegsinloggning behövs följande:

  • Installation > Använd tvåstegsverifiering ska vara "på".
  • Det ska finnas ett giltig SMS-abonnemang uppsatt.

  • Användare som använder tvåstegsverifiering måste ha ett giltigt mobilnummer.

Vitlistning av IP-adresser för åtkomst till BRP Cloud

Ett annat sätt att begränsa tillgången till BRP Cloud är att bara tillåta vissa IP-adresser.

  • Meddela BRP enstaka IP-adresser eller range av adresser som ska tillåtas.
    • Endast fasta IP-adresser. Tänk på att många konsumenttjänster byter din IP-adress ofta
    • Endast IP-adresser och inte dyndns eller liknande som kräver uppslagning
  • För de roller som ska kunna komma åt BRP även från andra adresser, tilldela rollen rättigheten "Andställd får logga in från varsomhelst oavsett IP-adress" (markering 3 i bilden)


Hiddenfragment macro
groupVisibilitybrponly


BRP Internal

2FA & Vitlistning

Syfte: Att öka säkerheten vid inloggning i systemet så att ytterligare en faktor utöver användarnamn och lösenord krävs för att logga in. Avser att säkerställa att användaren i fråga är den som loggar in i systemet och inte obehörig person.

Varianter: 2FA(SMS-kod) & Vitlistning(IP-filtrering) är de två funktioner BRP erbjuder för att öka inloggningssäkerheten i systemet.


2FA: SMS-kod skickas till användarens mobilnummer(kopplat till personen i BRP) vid inloggning och användaren måste ange fyra siffror ifrån SMS'et vid inloggning för att komma in i systemet. Notera att en inställning på respektive roll möjliggör att kunden kan bestämma
hur länge webbläsaren på den specifika datorn i fråga för den specifika användaren kan välja att "komma ihåg SMS koden" och således kommer systemet inte skicka nytt SMS förrän denna tid har passerat. Ett SMS skickas alltid om funktionen är aktiverad för de anställda som loggar in på en ny dator första gången.

Exempel:

Anställd X loggar in på dator Y för första gången. Den anställdes roll har 2FA aktiverat och denna är giltig i 2 dagar(48h). Vid första inloggningen får den anställde ett SMS med en kod som måste anges för att den anställde ska kunna logga in. Vid lyckad inloggning
så sparas detta lokalt på datorn och inloggning för anställd x på dator Y kommer i 48h framöver inte fråga efter ytterligare SMS kod vid inloggning.

Anställd X som tidigare loggade in på dator Y loggar nu in på dator Z. Även om det är inom 48h ifrån inloggningen på dator Y så har Anställd X inte gjort en lyckad 2FA inloggning på dator Y och då krävs därför SMS-kod vid första inloggningen på dator Z.

Anställd X har varit ledig i 72h och är nu tillbaka på anläggningen och loggar in på dator Y. Eftersom det är mer än 48h sedan när anställd X loggade in på dator Y med SMS-kod så kommer systemet begära att ny SMS-kod anges vid inloggningen.


Vitlistning: Vitlistning är när den den anropande IP-adressen kontrolleras, utöver användarnamn och lösenord, vid inloggning och inloggning godkänns om den anropande IP-adressen i förväg är angiven i BRP. Det är således inte tillräckligt med att bara användarnamn och lösenord är korrekt utan IP-adressen blir ytterligare en faktor. IP-adresser läggs in i BRP i en systeminställning och tillämpning styrs genom att ange om respektive roll ska vara undantaget ifrån Vitlistning eller ej. Vitlistning bör användas på anläggningar som har statisk(läs fast) extern ip där anläggningens utgående trafik alltid kommer ifrån en eller flera statiska IP-adresser som inte förändras dynamiskt.

Exempel:

Anställd X loggar in på dator Y på anläggning Z. Den anställdes roll är inte undantagen vitlistning och vitlistning är aktiverat i BRP. Eftersom dator Y står på anläggning Z som är är vitlistad i BRP så kan anställd X logga in i BRP.

Anställd X som tidigare loggade in på dator Y försöker nu logga in på dator H som är hemma hos anställd X. Även om användarnamn och lösenord är korrekt så tillämpas också vitlistning och anställd X IP-adress ifrån hemmet är inte godkänd för inloggning i BRP. Inloggning nekas.


OBS!
Både 2FA och Vitlistning kan tillämpas tillsammans samt oberoende ifrån varandra och styrs utifrån de roller som finns i systemet. Detta påverkar inte slutkunders inloggning i app/webb utan enbart personalinloggning i modulerna avseende BRP Cloud.


VI REKOMMENDERAR ALLA KUNDER ATT:
Aktivera vitlistning för de roller som ej har mobiltelefon och/eller mobilnummer och/eller där 2FA inte önskas användas
Aktivera 2FA och tillämpa på alla roller där vitlistning inte används.

Konfiguration 2FA

Följande inställningar för att skicka SMS måste vara uppsatta:

  • "smsUrl" > Vilken tjänst som kunden använder till att skicka SMS, se mer på
  • "smsSig" > Används för att signera SMSen
  • "smsCountryCode" > Standard landskod om inget annat anges i användarens nummer
  • "smsOkRegExp" > Läsa meddelanden från SMS-tjänsten
  • "smsErrorRegExp" > Läsa felmeddelanden från SMS-tjänsten
  • "smsUrlCharset" > Används för teckenkodning

Anläggningen måste dessutom ha Inställningen > Addons > "useTwoStepVerification" påslagen.

Övningsläge

För övningsläge används inställningen smsUrlTest istället för smsUrl för att skicka 2fa smsen. 

Vitlistning

Förutsättningar

För att kunna aktivera vitlistning i Google Cloud gäller ett antal förutsättningar enligt följande:

  • Nyskapade installationer i Google Cloud sedan 2021-01-12 får detta per automatik.
  • Alla HP kopplade till installationen måste använda egen URL enligt formatet kundurl-portserver.brpsystems.com:8443/portserver.
  • För inställningen "ipHeaderReverseProxy" ange värdet "X-Forwarded-For" på systemnivå.
  • Säkerställ med drift att "DNS" är ändrat för kunden givet att punkterna ovan är hanterade. När DNS ändras slutar alla HP som inte är ändrade till kundurl-portserver.brpsystems.com:8443/portserver att fungera.

Komplettera för ökad säkerhet med vitlistning.

OBS! Minsta version 2021.030313 för att detta ska kunna användas i Google Cloud

  • Dold systeminställning "employeeLoginWhitelistedIpAddresses"
  • Rättighet "Anställd får logga in från varsomhelst oavsett IP-adress" överrider krav på vitlistning