Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- navody:vps:uzivatele [2015/08/03 09:36] – vytvořeno petr
+++ navody:vps:uzivatele [2025/02/23 16:38] (aktuální) – passkey hw tokeny jako prvni, vice sw moznosti aither
@@ Řádek 1: / Řádek 1: @@
-===== Autentizace =====
+<page>manuals:vps:users</page>
+====== Správa uživatelského účtu ======
+===== Konfigurace e-mailových adres =====
+vpsAdmin umožňuje nastavit jeden primární e-mail patřící majiteli účtu --
+členovi v našem spolku. Ten musí být nastaven a může být jen jeden. Krom toho je
+možné nastavit různé e-mailové adresy pro různé typy kontaktů -- např. účetní a
+správce VPS. Toto nastavení lze měnit v detailech uživatelského účtu
+(vpsAdmin -> Edit profile).
-vpsAdmin nyní ukládá hesla pomocí bcrypt. Heslo se při přihlášení
+{{user_mail_roles.png?300|}}
-automaticky aktualizuje.
-V Edit profile → Authentication tokens je seznam autentizačních tokenů,
+Například, správce členství (role account management) dostává následující
-které se používají při vybrání autentizační metody ‚token‘ v HaveAPI.
+maily:
+  * upozornění k platbě členského příspěvku,
+  * pozastavení/obnovení členství,
+  * potvrzení přijetí platby.
+Správce VPS (role system administrator) pak maily o:
+  * změně stavu VPS,
+  * změně konfigurace VPS,
+  * stahování záloh,
+  * migrace VPS.
+==== Detailní nastavení ====
+Komu by nestačilo nastavení různých e-mailových adres pro různé role, nebo
+některé e-maily nechce vůbec dostávat, existuje ještě pokročilé nastavení
+(vpsAdmin -> Edit profile -> Advanced e-mail configuration). Zde si můžete
+nastavit libovolné adresy pro vybrané typy e-mailů, případně zasílání zrušit
+úplně.
+{{user_mail_templates.png?300|}}
+===== Dvoufaktorové přihlašování (2FA) =====
+Ve vpsAdminu je možné volitelně zapnout dvoufaktorové ověřování při přihlašování.
+K dispozici je [[wp>Time-based One-time Password algorithm|TOTP]] a [[wp>WebAuthn|passkey]].
+TOTP a passkey lze kombinovat, od každého mít více autentizačních zařízení a k přihlášení
+pak stačí jedno z nich.
+Dvoufaktorové ověřování je vynuceno k jakémukoli přihlášení: ve webovém rozhraní,
+v [[navody:vps:api|API]] i s [[navody:vps:api#cli|vpsfreectl]]. Přihlášení je
+možné jen pomocí [[navody:vps:api#autentizace|autentizace tokenem]], HTTP basic
+použít nelze.
+V nastavení profilu (vpsAdmin -> Edit profile) je možné dvoufaktorové ověřování
+vypnout nebo zapnout. Aktivní je ale jen když existuje aspoň jedno TOTP zařízení
+nebo passkey.
+{{:navody:vps:2fa_status.png?200|}}
+==== TOTP ====
+Pro ověřování můžete použít např. mobilní telefon s aplikací
+[[https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=cs|Google Authenticator]]
+nebo [[https://freeotp.github.io|FreeOTP]]. Při aktivaci naskenujete zobrazený
+QR kód do aplikace a opíšete jednorázové heslo, které vám zobrazí. Alternativně
+můžete do aplikace opsat tajný klíč, který vpsAdmin ukazuje pod QR kódem.
+{{:navody:vps:totp_device_confirm.png?300|}}
+Po aktivaci vpsAdmin zobrazí obnovovací kód, který můžete použít, pokud ztratíte
+přístup k zařízení s nastaveným TOTP. Tento kód neukládejte společně s heslem
+k vpsAdminu. Pokud ztratíte i tento kód, budete muset napsat na podporu.
+Je možné nastavit více autentizačních zařízení a pro přihlášení lze použít libovolné
+z nich. Autentizační zařízení můžete dočasně vypnout, nebo trvale smazat
+(vpsAdmin -> Edit profile -> TOTP devices).
+{{:navody:vps:totp_device_list.png?300|}}
+==== Passkey ====
+Jako passkey lze použít hardwarové tokeny (YubiKey, GoTrust IdemKey, apod.) a softwarové klíčenky jako KeePassXC, KeePassium, iCloud Keychain, Google Password Manager, Microsoft Windows Hello, 1Password, atp.
+Ověřování přes passkey je k dispozici pouze ve webovém prohlížeči, s [[navody:vps:api#cli|vpsfreectl]]
+použít nelze a vyžaduje TOTP.
+Ve vpsAdminu v Edit profile -> Passkeys si nejprve své zařízení registrujte
+a poté aktivujte dvoufaktorové ověřování v nastavení profilu (vpsAdmin -> Edit profile).
+===== Nastavení přihlášení =====
+V nastavení profilu (vpsAdmin -> Edit profile) je formulář "Session control":
+{{:navody:vps:user-session-control.png?300}}
+  * **Enable single sign-on** povolí sdílené přihlášení pro vpsAdmin, znalostní bázi a Discourse, tj. přihlašovací údaje stačí zadat jen jednou
+  * **Preferred session length** nastaví maximální dobu neaktivity, po které vás webové rozhraní vpsAdminu odhlasí; ve výchozím stavu je to 20 minut
+  * **Logout all** při odhlášení zruší všechny aktivní přihlášení dané aplikace, tj. např. pokud máte vpsAdmin otevřen ve více prohlížečích, nebo na různých zařízeních, jedno odhlášení je odhlásí všechny
+===== Log přihlášení a vykonaných akcí =====
+vpsAdmin loguje všechny přihlášení a pamatuje si, jaké akce byly vykonány
+(vpsAdmin -> Edit profile -> Sessions).
+{{:navody:vps:user-session-log.png?300}}
+Vidíme zde kdy došlo k přihlášení, jaký způsob autentizace byl využit, IP
+adresy, identifikace klienta a máme možnost se podívat, jaké příkazy byly v
+daném sezení vykonány. Světle zeleně jsou zvýrazněny přihlášení, které jsou stále aktivní.
+Aktuální přihlášení, ze kterého se na log koukáme, je zvýrazněno tmavě zeleně. Kliknutím
+na ikonku koše můžeme vybrané aktivní přihlášení ukončit.
-Webové rozhraní vpsAdminu tokeny využívá. Přes
-CLI nebo klientskou knihovnu obecně si můžete vytvořit token s trvalou
-platností. Na této stránce můžete tokenu nastavit popisek či ho smazat
-(odepřít přístup aplikaci, která jej využívá).

Znalostní báze

Uživatelské nástroje

Nástroje pro tento web

Rozdíly

Nástroje pro stránku