Treść tej instrukcji jest przeznaczana dla tych, którzy chcą zalogować się do POL-on za pomocą kodów jednorazowych, generowanych na telefonie lub komputerze.
Zapoznaj się z całą instrukcją zanim wykonasz poniższe kroki w panelu administracyjnym MCL.
Logowanie do systemu przez Moduł Centralnego Logowania (MCL) może obejmować dwa etapy logowania do konta.
- W pierwszym kroku logujesz się za pomocą nazwy użytkownika (loginu) i hasła.
- W drugim kroku wprowadzasz kod wygenerowany przez aplikację na telefonie komórkowym lub komputerze. Jest to dodatkowa ochrona konta, np. w sytuacji, gdy ktoś pozna twój login i hasło.
Uwierzytelnianie dwuetapowe nie jest aktualnie obowiązkowe.
Jeśli chcesz skorzystać z tego rodzaju zabezpieczenia logowania upewnij się, że:
– masz założone konto w Module Centralnego Logowania,
– masz zainstalowaną aplikację, która generuje kody jednorazowe, np. Google Authenticator, Microsoft Authenticator lub FreeOTP na telefonie lub program do generatora kodów jednorazowych na komputerze, np. WinAuth lub Authy.
O tym, jak krok po kroku pobrać i zainstalować wybraną aplikację na telefon lub komputer, przeczytasz poniżej.
O tym jak założyć konto MCL możesz przeczytać tutaj.
Dla kont, które są wykorzystywane do łączenia się przez REST API z POL-on, należy przemyśleć włączenie logowania dwuetapowego.
Włączenie dwuetapowego uwierzytelniania jest globalne dla całego konta i będzie dotyczyło logowania przez przeglądarkę oraz logowania maszynowego (przez REST API). W tej sytuacji są możliwe 3 rozwiązania:
– Założenie oddzielnego konta w POL-on/MCL, które będzie służyć tylko do komunikacji przez REST API – bez uruchamiania logowania dwuetapowego.
– Wygenerowania tokenu offline i korzystanie z niego do autoryzacji. Więcej informacji znajduje się w pomocy systemowej we wpisie: Uwierzytelnianie usług REST-API w POL-on 2.0.
– Podczas aktywowania mechanizmów logowania dwuetapowego zapisanie ziarna (seedu) oraz używanie go do generowania kodów (podczas autoryzowania REST API). Dla większości języków programowania ogólnego przeznaczenia istnieją biblioteki implementujące standard RFC6238. W przypadku logowania wystarczy dodać dodatkowy parametr „totp” z 6 cyfrowym kodem jednorazowym.
Pobranie i instalacja aplikacji do generowania kodów jednorazowych
Jak ściągnąć aplikację na telefon?
W zależności od rodzaju telefonu i jego systemu otwórz aplikację sklepu GooglePlay (Sklep Play), AppGallery lub App Store w swoim telefonie.
W głównym widoku aplikacji kliknij w wyszukiwarkę (może to być lupa lub pasek wyszukiwania z podpowiedzią: Szukaj aplikacji i gier). Wpisz nazwę autentykatora, np. Google Authenticator, Microsoft Authenticator lub FreeOTP. Kliknij przycisk Zainstaluj (lub Pobierz), aby rozpocząć proces instalacji wybranej aplikacji. Aplikacje są darmowe, więc nie dokonuj żadnych płatności.
Jeśli posiadasz konto Google (np. masz konto Gmail) możesz otworzyć przeglądarkę na telefonie (lub komputerze) i skorzystać z linku do Google Play:
– Link do aplikacji Google Authenticator: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
– Link do aplikacji Microsoft Authenticator: https://play.google.com/store/search?q=microsoft+authenticator+app&c=apps
– Link do aplikacji Free OTP Authenticator: https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp
Po kliknięciu w wybrany link, aplikacja do uwierzytelniania (autentykacji) będzie możliwa do zainstalowania na twoim telefonie. Jeśli chcesz skorzystać z tej ścieżki instalacji, używając przeglądarki na komputerze, musisz być zalogowany do konta Google. Po kliknięciu w przycisk instalacji zostaniesz poinformowany na jakim telefonie zostanie zainstalowana aplikacja. Potwierdź chęć instalacji (Przycisk Instaluj/Install).
Jeśli posiadasz system iOS w telefonie możesz skorzystać z poniższych linków do App Store:
– Link do aplikacji Google Authenticator: https://apps.apple.com/pl/app/google-authenticator/id388497605?l=pl
– Link do aplikacji Microsoft Authenticator: https://apps.apple.com/pl/app/microsoft-authenticator/id983156458?l=pl
– Link do aplikacji Free OTP Authenticator: https://apps.apple.com/pl/app/freeotp-authenticator/id872559395?l=pl
Jeśli masz już zainstalowaną aplikację do autentykacji w swoim telefonie – otwórz ją. Aplikacja może prosić cię o ustawienie hasła, dodanie formy płatności, bądź wyświetlać instrukcję. Te kroki możesz pominąć. Przejdź do ekranu z możliwością zeskanowania kodu QR (funkcja „Zeskanuj kod QR” może się znajdować np. pod przyciskiem Dodaj kod lub w zakładce Zweryfikowane identyfikatory).
Po wybraniu możliwości zeskanowania kodu QR może się pojawić okno z pytaniem czy udzielasz zgody na robienie zdjęć przez zainstalowaną aplikację podczas jej używania! Wyrażenie zgody jest konieczne, aby poprawnie skonfigurować aplikację.
Dla ułatwienia, poniżej przedstawiamy graficzną ścieżkę pobrania Google Authenticator [1] i Microsoft Authenticator [2] za pomocą sklepu GooglePlay i instalacji na telefonie.
Wystarczy, że zainstalujesz jedną z aplikacji. Dane do wprowadzenia (kod QR i klucz konfiguracyjny) znajdziesz w zakładce Uwierzytelnienia mobilne na swoim koncie MCL.
Jak ściągnąć aplikację na komputer?
Jeśli nie masz telefonu lub nie chcesz instalować aplikacji do generowania kodów jednorazowych na nim, możesz zainstalować dowolny program generujący kody na swoim komputerze, np. WinAuth (jeśli korzystasz z systemu Windows), Authy (dla Windows, Mac oraz urządzeń mobilnych).
Wyszukaj, ściągnij i zainstaluj wybrany program na swoim komputerze zgodnie z instrukcją producenta.
Link do aplikacji WinAuth: https://winauth.github.io/winauth/download.html (Plik .ZIP będzie wymagał rozpakowania)
Link do aplikacji Authy: https://authy.com/download/ (Instalacja tej aplikacji na komputerze wymaga podania numeru telefonu).
Otwórz i uruchom pobraną aplikację. Wpisz klucz lub wartości konfiguracji dostępne na stronie twojego konta MCL w zakładce Uwierzytelnianie mobilne. Znajdziesz je pod linkiem „Nie możesz zeskanować?”.
Dla ułatwienia, poniżej przedstawiamy graficzną ścieżkę instalacji i konfiguracji WinAuth dla Windows na komputerze [3].
Konfiguracja uwierzytelniania mobilnego na telefonie lub komputerze
Przejdź na stronę MCL (https://mcl.opi.org.pl/). Wprowadź login i hasło [1], a następnie kliknij przycisk „Zaloguj” [2] (Jeśli zamiast logowania loginem i hasłem korzystasz z opcji „login.gov.pl” po wybraniu tej opcji zostaniesz przekierowany na stronę login.gov.pl, gdzie wybierzesz metodę autoryzacji np. Profil Zaufany).
Po zalogowaniu do panelu administracyjnego MCL wybierz sekcję „Uwierzytelnianie mobilne” [3] i postępuj zgodnie z informacjami widocznymi na ekranie.
Uruchom aplikację generującą kody jednorazowe na swoim urządzeniu mobilnym lub komputerze (np. Google Authenticator, Microsoft Authenticator, WinAuth).
Jeśli jeszcze jej nie ściągnąłeś i/lub nie zainstalowałeś aplikacji do generowania kodów jednorazowych, musisz to zrobić teraz! Po zakończeniu instalacji pojawi się możliwość zeskanowania kodu QR lub ręcznej konfiguracji.
Korzystając z aplikacji na urządzeniu mobilnym zeskanuj kod QR widoczny w panelu administracyjnym MCL .
Jeśli nie możesz zeskanować kodu QR kliknij w link „Nie możesz zeskanować?” [1] i wprowadź informacje widoczne na ekranie tj. klucz i/lub dane konfiguracyjne do aplikacji na telefonie lub komputerze [2].
Po udanej konfiguracji twoja aplikacja powinna wygenerować jednorazowy kod składający się z cyfr.
Wprowadzanie kodu jednorazowego
Wprowadź w panelu administracyjnym MCL jednorazowy kod wygenerowany przez aplikację na twoim telefonie lub w aplikacji na komputerze [1]. Zatwierdź kod przyciskiem na dole ekranu [2].
Ważność kodu jednorazowego jest bardzo krótka i wynosi 30 sekund (lub mniej). Oznacza to, że aplikacja generuje nowy kod co 30 sekund! Oznacza to, że aplikacja generuje nowy kod co 30 sekund! Jeśli nie zdążyłeś wprowadzić kodu, wprowadź kolejny.
Jeśli korzystasz z aplikacji na komputerze skopiuj kod i wklej go w formularz MCL. W przypadku WinAuth wystarczy kliknąć na kod 2 razy prawym przyciskiem myszy. W przypadku Authy możesz użyć dostępnego przycisku kopiowania. Skróci to czas konfiguracji.
Pole nazwa urządzenia może pozostać puste!
System poinformuje cię o pomyślnym skonfigurowaniu uwierzytelniania mobilnego.
Kod jednorazowy wygenerowany przez aplikację może zostać odrzucony jeśli twój telefon ma ustawiony inny czas niż obowiązujący. Czas twojego urządzenia musi być zsynchronizowany z internetem!
Przy kolejnym logowaniu do konta MCL twoja weryfikacja będzie opierała się na dwóch etapach:
- Logowania do panelu administracyjnego MCL (https://mcl.opi.org.pl/)
- Uwierzytelniania za pomocą kodu wygenerowanego przez aplikację
Uwierzytelnienie za pomocą kodu
Aby dokonać uwierzytelniania, uruchom aplikację na urządzeniu mobilnym lub komputerze. Wprowadź wygenerowany kod jednorazowy w odpowiednie pole.
Jak pominąć podawanie kodu jednorazowego przy logowaniu z zaufanego urządzenia?
Jeśli chcesz pominąć podawanie kodu jednorazowego przy każdym logowaniu, zaznacz checkbox „Zapamiętaj urządzenie” [1]. Potwierdź chęć zalogowania, klikając w przycisk „Zaloguj się” [2].
System będzie wymagał kodu przy próbie logowania się z innych urządzeń niż zapamiętane lub po upływie dłuższego czasu na urządzeniu zapamiętanym.
Jeśli pozostawisz checkbox „Zapamiętaj urządzenie” bez zaznaczenia, to przy każdej próbie logowania będziesz zmuszony generować i wprowadzać kod.
W zakładce „Zapamiętane urządzenia” możesz zapoznać się z urządzeniami, które nie wymagają podawania kodu jednorazowego przy logowaniu.
Przy każdym zapamiętanym urządzeniu znajdziesz przycisk „Usuń” [1], który cofa zapamiętanie. W przypadku dużej liczby urządzeń możesz skorzystać z przycisku „Zapomnij wszystkie urządzenia” [2].
Maksymalna liczba zapamiętanych urządzeń to 20.
