MFA

Panoramica

L'autenticazione a più fattori (MFA) può essere utilizzata per accedere a Zabbix, fornendo un ulteriore livello di sicurezza oltre al semplice nome utente e password.

Con la MFA, l'utente deve essere presente in Zabbix, deve fornire le credenziali Zabbix al momento dell'accesso e deve anche dimostrare la propria identità con altri mezzi, solitamente un codice generato da un'app di autenticazione sul cellulare dell'utente.

Sono disponibili diversi metodi di autenticazione a più fattori, consentendo agli utenti di scegliere l'opzione più adatta alle proprie esigenze e preferenze di sicurezza. Questi metodi sono la password monouso a tempo (TOTP) e Duo Universal Prompt.

Configurazione

Parametri di configurazione:

Parametro Descrizione
Abilita autenticazione a più fattori Selezionare la casella di controllo per abilitare l'autenticazione a più fattori.
Metodi Fare clic su Aggiungi per configurare un metodo MFA (vedere la configurazione del metodo di seguito).

Configurazione del metodo

Parametri di configurazione del metodo:

Parametro Descrizione
Type Selezionare il tipo di metodo MFA:
TOTP - utilizzare un'app di autenticazione per generare password monouso basate sul tempo;
Duo Universal Prompt - utilizzare il servizio di autenticazione Duo per fornire l'autenticazione a più fattori.
Name Inserire un nome visualizzato come nome dell'account per tutti gli utenti MFA nelle app di autenticazione (ad esempio, "Zabbix").
Hash function Selezionare la funzione hash (SHA-1, SHA-256 o SHA-512) per generare i codici TOTP.
Questo parametro è disponibile se il tipo di metodo MFA è impostato su "TOTP".
Si noti che la scelta di SHA-256 o SHA-512 può limitare significativamente la compatibilità, poiché molte applicazioni attualmente non supportano queste funzioni.
Code length Selezionare la lunghezza del codice di verifica (6 o 8).
Questo parametro è disponibile se il tipo di metodo MFA è impostato su "TOTP".
API hostname Inserire il nome host API fornito dal servizio di autenticazione Duo.
Questo parametro è disponibile se il tipo di metodo MFA è impostato su "Duo Universal Prompt".
Client ID Inserire l'ID client fornito dal servizio di autenticazione Duo.
Questo parametro è disponibile se il tipo di metodo MFA è impostato su "Duo Universal Prompt".
Client secret Inserire il segreto client fornito dal servizio di autenticazione Duo.
Questo parametro è disponibile se il tipo di metodo MFA è impostato su "Duo Universal Prompt".

Esempi di configurazione

Questa sezione fornisce esempi di configurazione di MFA utilizzando Time-Based One-Time Password (TOTP) e Duo Universal Prompt.

TOTP

Per TOTP, gli utenti devono verificare la propria identità utilizzando un'app di autenticazione (ad esempio, l'app Google Authenticator).

1. Vai alle impostazioni MFA in Zabbix sotto Users > Authentication e abilita l'autenticazione a più fattori.

2. Aggiungi un nuovo metodo MFA con la seguente configurazione:

  • Type: TOTP
  • Name: Zabbix TOTP
  • Hash function: SHA-1
  • Code length: 6

3. Fai clic sul pulsante Add e quindi sul pulsante Update.

4. Vai a Users > User groups e crea un nuovo gruppo di utenti con la seguente configurazione:

  • Group name: TOTP group
  • Users: Admin
  • Multi-factor authentication: Default (oppure "Zabbix TOTP" se non è impostato come predefinito)

5. Disconnettiti da Zabbix e accedi di nuovo usando le tue credenziali. Dopo l'accesso riuscito, ti verrà richiesto di registrarti all'MFA, con la visualizzazione di un codice QR e di una chiave segreta.

6. Scansiona il codice QR oppure inserisci la chiave segreta nell'app Google Authenticator. L'app genererà un codice di verifica che dovrai inserire per completare il processo di accesso.

7. Per gli accessi successivi, recupera il codice di verifica dall'app Google Authenticator e inseriscilo durante l'accesso.

Duo Universal Prompt

Per Duo Universal Prompt, gli utenti devono verificare la propria identità utilizzando l'app di autenticazione Duo Mobile.

Il metodo MFA Duo Universal Prompt richiede l'installazione dell'estensione php-curl, l'accesso a Zabbix tramite HTTPS e l'autorizzazione per le connessioni in uscita verso i server Duo. Inoltre, se hai abilitato Content Security Policy (CSP) sul web server, assicurati di aggiungere "duo.com" alla direttiva CSP nel file di configurazione del virtual host.

1. Registrati per un account amministratore Duo gratuito su Duo Signup.

2. Apri il Duo Admin Panel, vai su Applications > Protect an Application, cerca l'applicazione Web SDK e fai clic su Protect.

3. Prendi nota delle credenziali (Client ID, Client secret, API hostname) necessarie per configurare il metodo MFA in Zabbix.

4. Vai alle impostazioni MFA in Zabbix sotto Users > Authentication e abilita l'autenticazione a più fattori.

5. Aggiungi un nuovo metodo MFA con la seguente configurazione:

  • Type: Duo Universal Prompt
  • Name: Zabbix Duo
  • API hostname: (use API hostname from Duo)
  • Client ID: (use Client ID from Duo)
  • Client secret: (use Client secret from Duo)

6. Fai clic sul pulsante Add e poi sul pulsante Update.

7. Vai su Users > User groups e crea un nuovo gruppo di utenti con la seguente configurazione:

  • Group name: Duo group
  • Users: Admin
  • Multi-factor authentication: Default (or "Zabbix Duo" if it is not set as default)

8. Esci da Zabbix e accedi di nuovo usando le tue credenziali. Dopo un accesso riuscito, ti verrà richiesto di registrarti per l'MFA e verrai reindirizzato a Duo. Completa la configurazione di Duo e verifica il tuo utente con l'app Duo sul telefono per accedere.

9. Per gli accessi successivi, usa il metodo MFA appropriato fornito dall'app Duo (ad esempio recuperando un codice di verifica, rispondendo alle notifiche push o usando chiavi hardware) e inserisci le informazioni richieste durante l'accesso.