Тема: Как внедрить много-факторную аутентификацию
Показать сообщение отдельно
Старый 29.09.2015, 09:08   #4  
gl00mie is offline
gl00mie
Участник
MCBMSS
Most Valuable Professional
Лучший по профессии 2017
Лучший по профессии 2015
Лучший по профессии 2014
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
3,684 / 5803 (201) ++++++++++
Регистрация: 28.11.2005
Адрес: Москва
Записей в блоге: 3
Цитата:
Сообщение от ndabbot Посмотреть сообщение
Я не разработчик или администратор Dynamics AX.
Мне нужно узнать, возможно ли настроить много-факторную аутентификацию (пароль ну и к примеру СМС токен, единовременный пароль, софт токен) непосредственно для Dynamics AХ 2012.
В стандарте так сделать нельзя, потому что из Dynamics AX, начиная с версии 4.0 (т.е. 2 версии назад), выкинули собственный механизм аутентификации, привязав всё к AD с использованием SSO.
Цитата:
Сообщение от ndabbot Посмотреть сообщение
Клиент хочет что бы его менеджеры, находясь в офисе или вне его, заходя через клиент или через веб портал, вводили не только пароль, но и дополнительный токен.
Тут нужно абстрагироваться от Аксапты, см., например, Authenticate Clients Using Smart Cards (для IIS и того же портала).
Цитата:
Сообщение от ndabbot Посмотреть сообщение
Насколько я понял у клиента пользователи входят в Dynamics с отдельными аккаунтами, не интегрированными в Active Directory
Это как?..
Цитата:
Сообщение от ndabbot Посмотреть сообщение
по какой то причине компания не хочет использовать технологию единого входа (SSO).
Тогда они не того вендора выбрали
Цитата:
Сообщение от ndabbot Посмотреть сообщение
Видение клиента состоит в том, что он хочет заставить менеджеров вводить пароль и токен при авторизации каких либо транзакций, иначе они просто отдают пароль секретарям.
Выходит, дело не в SSO, не в использовании AD для аутентификации пользователей, а в некоторых бизнес-процессах, требующих одобрения менеджерами тех или иных документов/действий. И сейчас просто менеджерам неудобно это делать в Аксапте самостоятельно, потому они и передают свои учетные данные посторонним людям, чтобы те выполняли одобрение за них.
Если так, то идти, мне кажется, нужно в противоположном направлении: не пытаться усложнить менеджерам вход в Аксапту, а напротив, упростить им одобрение тех или иных документов/действий в системе. Это решается иначе, например, через функционал Workflow: в 2012-й куча бизнес-процессов может быть штатно привязана к Workflow, выполняющемуся на базе Windows Workflow Foundation (WF). WF позволяет "выходить за рамки" системы, в частности, уведомление о том, что пользователю передан на одобрение тот или иной документ или действие, может приходить в т.ч. на электронную почту, можно прямо в том же Outlook "проголосовать" - и ответ вернется в WF, повлияв на дальнейшее выполнение бизнес-процесса в Аксапте. См. также Workflow examples.
А секретарям можно просто объяснить, что "авторизация транзакций" за менеджеров не только не входит в их обязанности, но и может преследоваться как уголовное преступление (п.2 статьи 272 УК РФ, штраф до 300 тыщ или лишение свободы на срок до 5-и лет).
Последний раз редактировалось gl00mie; 29.09.2015 в 09:52. Причина: пример
За это сообщение автора поблагодарили: Kabardian (2), Dreadlock (1).