Che cos'è MFA?
MFA, o multi-factor authentication, aggiunge una seconda prova di identità oltre la tua password o il login SSO. VaultPAM utilizza MFA sia al momento dell'accesso sia, quando richiesto dalla Policy, come controllo step-up prima di aprire una sessione sensibile o di eseguire un'azione amministrativa.
Login MFA
Al login, VaultPAM può richiedere:
- Un codice TOTP da un'app authenticator iscritta al tuo account utente. Se appartieni a più di un'organizzazione, la stessa app iscritta può essere utilizzata per lo step-up anche lì.
- Una security key WebAuthn o un authenticator di piattaforma.
- Un backup code se il tuo metodo principale non è disponibile.
Step-up MFA
Alcune Policy del Safe richiedono un secondo controllo anche dopo che l'utente è già connesso. Questo step-up potrebbe apparire quando una sessione viene avviata o quando un'azione amministrativa comporta un rischio extra.
Iscrizione
Gli utenti si iscrivono a MFA attraverso il flusso di configurazione collegato dalla guida pratica. Gli amministratori possono richiedere MFA a livello di organizzazione o Safe, ma l'esperienza di iscrizione rimane comunque rivolta agli utenti.
Perché è importante
MFA riduce la possibilità che una password rubata diventi un compromesso della sessione. È particolarmente importante quando la Policy del Safe consente l'accesso agli appunti o si riferisce a un sistema di produzione.