Poniższe instrukcje są przeznaczone na wypadek sytuacji, gdy kilka osób musi dzielić się tymi samymi podstawowymi danymi uwierzytelniającymi (nazwa użytkownika + hasło), a Ty chcesz, aby mogły uzyskać dostęp tylko wtedy, gdy jest to konieczne.
Opcja #1: Indywidualne uwierzytelniacze dla każdej uprawnionej osoby
To podejście gwarantuje, że każda osoba współdzieląca konto ma własny, odrębny uwierzytelniacz, dzięki czemu możliwe jest usunięcie pojedynczego urządzenia bez wpływu na pozostałe.
1. Dodaj współdzielone konto użytkownika w platformie Rublon MFA w jeden z następujących sposobów:
• Dodaj konto ręcznie, zachowując identyczną nazwę użytkownika jak w zewnętrznej usłudze katalogowej.
• Zsynchronizuj konto z zewnętrznego katalogu, np. Active Directory lub Entra ID.
• Upewnij się, że w konsoli Rublon Admin Console ustawiono opcję Enrollment Type (Typ rejestracji) na Automatic (Automatyczna) i użyj danych uwierzytelniających współdzielonego konta, aby zalogować się do aplikacji zintegrowanej z usługą Rublon.
2. Zarejestruj uwierzytelniacze dla tego konta:
• Wyślij E-mail rejestracyjny do każdej osoby, która będzie korzystać z konta. Zmień wartość pola Email Address (Adres e-mail) przed wysłaniem każdego E-maila rejestracyjnego, aby upewnić się, że wszyscy otrzymają wiadomość w swojej skrzynce pocztowej i zarejestrują swój uwierzytelniacz, otwierając link w wiadomości e-mail.
3. Ustaw status konta na Denied (Odrzucany), aby każda próba logowania zatrzymywała się na etapie hasła z komunikatem Access Denied!.
• Aby przyznać tymczasowy dostęp, zmień status na Active (Aktywny) tuż przed rozpoczęciem okna serwisowego, zmiany roboczej lub sesji ad hoc. Użytkownicy logują się wspólną nazwą/hasłem i przechodzą przez uwierzytelnianie MFA przy użyciu własnego zarejestrowanego uwierzytelniacza.
• Po zakończeniu pracy przełącz konto z powrotem na status Denied (Odrzucany). Dzięki temu podejściu zmieniasz jedynie flagę statusu; ponowna rejestracja nie jest wymagana, a dzienniki jasno pokazują, kto uwierzytelnił się za pomocą którego urządzenia.
| Status | Efekt przy logowaniu | Typowe zastosowanie |
| Active (Aktywny) | Wymagane hasło oraz drugi czynnik MFA. | Normalne, kontrolowany okres dostępu. |
| Denied (Odrzucany) | Wszystkie logowania zablokowane (użytkownik widzi Access Denied!). | Domyślny stan, gdy nikt nie powinien móc korzystać z konta. |
Opcja #2: Nadzorowane MFA (JIT oparte na zatwierdzeniu)
Czasami chcesz, by logowanie wykonywał Operator A, natomiast potwierdzenie MFA pochodziło od Nadzorcy B:
1. Dodaj współdzielone konto użytkownika w platformie Rublon MFA w jeden z następujących sposobów:
• Dodaj konto ręcznie, zachowując identyczną nazwę użytkownika jak w zewnętrznej usłudze katalogowej.
• Zsynchronizuj konto z zewnętrznego katalogu, np. Active Directory lub Entra ID.
• Upewnij się, że w konsoli Rublon Admin Console ustawiono opcję Enrollment Type (Typ rejestracji) na Automatic (Automatyczna) i użyj danych uwierzytelniających współdzielonego konta, aby zalogować się do aplikacji zintegrowanej z usługą Rublon.
2. Zarejestruj uwierzytelniacze dla administratorów nadzorujących to konto:
• Wyślij E-mail rejestracyjny do każdej osoby, która będzie korzystać z konta. Zmień wartość pola Email Address (Adres e-mail) przed wysłaniem każdego E-maila rejestracyjnego, aby upewnić się, że wszyscy otrzymają wiadomość e-mail w swojej skrzynce pocztowej i zarejestrują swój uwierzytelniacz, otwierając link w wiadomości e-mail.
3. Ukryj przycisk Manage Authenticators (Zarządzaj uwierzytelniaczami), odznaczając opcję Let Users Manage Authenticators. Użytkownicy nie będą mogli dodawać nowych urządzeń w widoku Rublon Prompt.
4. Przebieg logowania:
- Operator wprowadza współdzieloną nazwę użytkownika i hasło.
- Operator wybiera zarejestrowany uwierzytelniacz nadzorcy.
- Nadzorca otrzymuje prośbę o uwierzytelnienie i zatwierdza ją.
Wskazówka: Jeśli jest tylko jeden nadzorca, włącz politykę Default Authentication Method (Domyślna metoda uwierzytelniania). Po wprowadzeniu poprawnego hasła, system automatycznie wyśle żądanie MFA do nadzorcy, skracając tym samym czas spędzony przez operatora przy widoku Rublon Prompt.
Poniższa tabela opisuje, w dobrze każda metoda uwierzytelniania pasuje do nadzorowanego uwierzytelniania wieloskładnikowego.
| Metoda | Sposób zatwierdzenia | Zalecana? | Uwagi |
| Powiadomienie mobilne | Wybierz Zatwierdź w aplikacji Rublon Authenticator. | ✅ | Najszybsza i najwygodniejsza metoda. |
| Połączenie telefoniczne | Naciśnij dowolny klawisz w trakcie rozmowy. | ✅ | Działa nawet na telefonach stacjonarnych. |
| Link SMS | Otwórz link w wiadomości tekstowej. | ✅ | Wygodna, ale wolniejsza i mniej bezpieczna niż Powiadomienie mobilne. |
| Link e-mail | Otwórz link w wiadomości e‑mail. | ✅ | Wygodna, ale wolniejsza i mniej bezpieczna niż Powiadomienie mobilne. |
| Kod QR | Zeskanuj kod QR aplikacją Rublon Authenticator. | ❌ | Wymaga fizycznej obecności nadzorcy lub udostępnienia ekranu, co jest niewygodne. |
| Kod dostępu | Wprowadź kod z aplikacji. | ❌ | Wymaga fizycznej obecności nadzorcy lub przekazania kodu operatorowi, co jest niewygodne. |
| Kod SMS | Wprowadź kod z SMS‑a. | ❌ | Wymaga fizycznej obecności nadzorcy lub przekazania kodu operatorowi, co jest niewygodne. |
| Klucz bezpieczeństwa WebAuthn/U2F | Włóż i dotknij klucz. | ❌ | Najlepsza odporność na phishing, lecz niski poziom wygody i brak wsparcia w przypadku pracy zdalnej (nadzorca musi być fizycznie obecny z kluczem). |
| YubiKey OTP | Włóż i dotknij klucz. | ❌ | Brak wygody i brak wsparcia dla pracy zdalnej (nadzorca musi być fizycznie obecny z kluczem). |
Czy ten artykuł był pomocny?
To wspaniale!
Dziękujemy za opinię
Przepraszamy, że nie udało nam się pomóc!
Dziękujemy za opinię
Wysłano opinię
Doceniamy Twój wysiłek i postaramy się naprawić artykuł