GRANDSTREAM IP-PBX Multi Factor Authentication

Pasiuna
Ang Multi-Factor Authentication (MFA) feature sa Grandstream Networks, Inc. naghatag og dugang nga layer sa seguridad sa IP-PBX system. Nagkinahanglan kini og duha ka mga kredensyal sa pag-login ug usa ka verification code gikan sa usa ka MFA device alang sa pag-access, pagpauswag sa seguridad sa sistema.

Mga Aplikasyon sa Virtual MFA
Aron magamit ang MFA, ang mga tiggamit mahimong mag-download ug mag-install sa mga aplikasyon sa MFA gikan sa ilang mga tindahan sa app. Ilang exampLakip niini ang Google Authenticator para sa Android ug iOS, Twilio Authy 2-factor Authentication, ug Authenticator ni Microsoft.

Mga Instruksyon sa Paggamit sa Produkto

Pag-enable sa Multi-Factor Authentication (MFA)
Ang mga super admin ug admin makahimo sa MFA alang sa ilang mga account pinaagi sa pagsunod niini nga mga lakang:

1. Login sa IP-PBX nga sistema
2. Pagdala ngadto sa mga setting sa account
3. Pangitaa ang MFA toggle switch ug i-enable kini para sa account

Paggamit sa Virtual MFA Device

1. Pag-download ug aplikasyon sa MFA gikan sa imong app store (pananglitan, Google Play Store o Apple App Store)
2. I-install ug i-set up ang MFA nga aplikasyon sa imong mobile device o tablet
3. Kung nag-log in sa IP-PBX, isulod ang imong mga kredensyal sa pag-login nga gisundan sa unom ka digit nga code nga gihimo sa aplikasyon sa MFA

Paggamit sa Pisikal nga MFA Device

1. Pagpalit ug pisikal nga MFA device nga nagsuporta sa TOTP o FIDO U2F standard gikan sa 3rd party vendor
2. I-set up ang pisikal nga MFA device sumala sa instruksyon sa vendor
3. Kung nag-log in sa IP-PBX, isulod ang imong mga kredensyal sa pag-login nga gisundan sa unom ka digit nga code nga gihimo sa pisikal nga aparato sa MFA

PASIUNA

• Ang IP-PBX Multi-Factor Authentication (MFA) nga bahin nagdugang sa usa ka yano ug luwas nga pamaagi aron mapanalipdan ang sistema sa ibabaw sa pagkinahanglan og username ug password alang sa pag-login. Kung mahimo, ang IP-PBX magkinahanglan og mga kredensyal sa pag-login (ang 1st factor) ug usa ka verification code gikan sa usa ka MFA device (ang 2 nga hinungdan), nagdugang sa seguridad alang sa IP-PBX nga sistema.
• Aron magamit ang MFA, ang mga tiggamit kinahanglan nga mag-install usa ka virtual nga aplikasyon sa MFA o mopalit usa ka pisikal nga aparato sa MFA. Ang MFA gi-configure ug gipadapat kada account, dili tanang account.

Mubo nga sulat:
Ang termino nga IP-PBX niini nga giya nagtumong sa UCM63xx series, CloudUCM ug SoftwareUCM.

Virtual nga MFA Device

• Ang mga virtual nga MFA nga mga aparato nagtumong sa mga aplikasyon sa software nga gipadagan sa mga mobile device o uban pa aron ilisan ang pisikal nga mga aparato sa MFA. Ang aplikasyon sa MFA makamugna og unom ka digit nga code pinaagi sa usa ka time-based nga one-time password (TOTP) algorithm.
• Kini nga kodigo gikinahanglan sa dihang mag-log in sa IP-PBX. Ang virtual MFA device nga gi-assign sa matag user kinahanglang talagsaon. Ang usa ka user dili makagamit ug code gikan sa MFA device o aplikasyon sa laing user aron maka-log in sa iyang account.
• Tungod kay ang mga aplikasyon sa MFA mahimong modagan sa dili sigurado nga hardware, mahimo nga dili sila maghatag parehas nga lebel sa seguridad sama sa pisikal nga mga aparato sa MFA.

Pisikal nga MFA Device
Ang usa ka pisikal nga MFA device makamugna og unom ka digit nga code pinaagi sa time-based one-time password (TOTP) algorithm. Kini nga kodigo gikinahanglan sa dihang mag-log in sa IP-PBX. Ang pisikal nga MFA device nga gi-assign sa matag user kinahanglang talagsaon. Ang usa ka user dili makagamit ug code gikan sa MFA device o aplikasyon sa laing user aron maka-log in sa iyang account.

MGA ESPESPIKASYON SA MFA DEVICE

	Virtual MFA Device	Pisikal MFA Device
Device	Tan-awa ang Virtual MFA Applications table sa ubos	TOTP Hardware Token	FIDO Security Key
Gasto	Libre	Ang presyo gitino sa 3rd party vendor	Ang presyo gitino sa 3rd party vendor
Mga Detalye sa Device	Bisan unsang mobile device o tablet nga maka-install ug makadagan sa mga aplikasyon nga nagsuporta sa TOTP standard	3rd party vendor device nga nagsuporta sa TOTP Standard nga mga himan sama sa Microcosm MFA device	Ang mga aparato nga nagsuporta sa FIDO U2F bukas nga sukaranan sa pag-authenticate.
Scenario sa Aplikasyon	Daghang mga token mahimong suportahan sa usa ka aparato	Daghang institusyon sa pinansya ug mga organisasyon sa IT sa negosyo ang naggamit sa parehas nga tipo sa aparato	Ipatuman ang mga pamaagi sa pag-authenticate sa pagbayad ug palig-onon ang seguridad sa mga transaksyon sa e-commerce.

VIRTUAL MFA APPLICATIONS
Palihog adto sa imong mobile device o app store sa tablet aron i-download ug i-install ang mga aplikasyon sa MFA. Ang talaan sa ubos naglista sa pipila ka exampmga aplikasyon.

Android™ Mobile Devices	Google Authenticator Twilio Authy 2-factor Authentication
iOS™ Mobile Devices	Google Authenticator Twilio Authy 2-factor Authentication
Windows™ Mobile Devices	Authenticator (sa Microsoft)

PAGGAMIT MFA DEVICE

Girekomendar kaayo nga i-configure ang Multi-Factor Authentication (MFA) aron mahatagan og mas taas nga lebel sa seguridad sa IP-PBX system. Ang mga super admin ug admin mahimong mag-toggle sa MFA para sa ilang mga account pero dili para sa account sa uban.

Paggamit sa Virtual MFA Device
Una, pag-download ug aplikasyon sa MFA gikan sa imong app store (pananglitan, Apple App Store o Google Play Store). Tan-awa ang Talaan 3 para sa exampgamay nga magamit nga aplikasyon sa MFA.

Nota
Aron ma-configure ang MFA sa hustong paagi, ang mga adres sa email kinahanglang itakda para sa IP-PBX ug sa gusto nga admin account. Kini ra ang paagi aron ma-disable ang MFA nga wala mag-login sa account. Kung walay email address ang na-configure, ang account dili maka-login.

Sunda kini nga mga lakang aron ma-configure ang MFA sa IP-PBX:

1. Pag-log in sa portal sa pagdumala sa IP-PBX gamit ang super admin account. Pagdala ngadto sa System Settings → Email Settings ug i-configure ang balido nga mga setting sa email nga magtugot sa IP-PBX sa pagpadala sa mga email. Siguroha nga ang Type field gitakda sa Kliyente.
2.  Sa IP-PBX web UI, navigate sa Maintenance → User Management page, ug i-klik aron usbon ang impormasyon sa user. I-configure ang email address para sa admin.
3. I-enable ang Multi-Factor Authentication ug pilia ang Authentication App sa prompt. Unya i-klik ang sunod.
4. Ang Virtual MFA device certification window maghatag ug sunodsunod nga mga instruksyon sa pag-set up sa tanan. Ang mga tiggamit mahimo’g mag-scan sa usa ka QR code o mano-mano ang pagsulod sa usa ka yawe pinaagi sa ilang MFA app.
5. Ablihi ang imong virtual MFA app ug sunda ang mga lakang sa ubos.
   • Kung ang imong aplikasyon sa MFA nagsuporta ug QR code, i-scan ang gihatag nga QR code. Ang ubang mga mobile device maka-scan ug maka-detect sa mga QR code gamit ang camera app.
   • Kung ang imong aplikasyon sa MFA dili mosuporta sa QR code, i-klik ang "Ipakita ang yawe" ug dayon isulod sa mano-mano ang yawe sa aplikasyon sa MFA. Kung gikinahanglan sa MFA ang pagpili kung giunsa paghimo ang code, palihug pilia ang "Base sa oras".
   • Nota
     Kung ang virtual nga aplikasyon sa MFA nagsuporta sa daghang mga aparato o account sa MFA, palihug pilia ang pagdugang bag-ong aparato / account sa MFA aron makahimo usa ka bag-ong aparato o bag-ong account.
6. Ang MFA matag karon ug unya makamugna og usa ka higayon nga mga password. Isulod ang gipakita nga one-time nga password nga gipakita sa MFA app ngadto sa Code 1 field. Paghulat sa gibana-bana nga 30 segundos alang sa app nga makamugna og laing usa ka higayon nga password. Isulod kining bag-ong password sa Code 2 field.
7.  Pag-klik sa pagsugod sa pag-authenticate. Human mapasa ang authentication, i-klik ang Save and Apply Changes buttons para ma-epekto ang mga setting. Ang account karon malampuson nga gigapos sa virtual MFA device. Ang usa ka MFA code karon ang gikinahanglan aron maka-log in sa account.
   1. Palihug isumite dayon ang imong hangyo pagkahuman sa paghimo sa code. Kay kon dili, ang TOTP (time-based one-time nga password) mo-expire sa dili madugay. Kung na-expire na, palihug pagsugod pag-usab.
   2. Ang usa ka tiggamit mahimo ra nga mabugkos sa usa ka aparato sa MFA.

Paggamit sa Pisikal nga MFA Device

Ang mga tiggamit kinahanglan nga mopalit ug pisikal nga MFA device ug kumpirmahi nga ang IP-PBX adunay balido nga mga setting sa email nga gi-configure gamit ang Type field nga gibutang sa Client. Ang account nga gi-set up para sa MFA kinahanglan usab nga adunay balido nga email address nga gi-configure.

Nota
Aron ma-configure ang MFA sa hustong paagi, ang mga adres sa email kinahanglang itakda para sa IP-PBX ug sa gusto nga admin account. Kini ra ang paagi aron ma-disable ang MFA nga wala mag-log in sa account. Kung walay email address ang na-configure, ang account dili maka-log in.

I-configure ang TOTP Hardware Token
Sa ubos mao ang mga lakang sa pag-configure sa usa ka time-based-one time password (TOTP) hardware token sa IP-PBX.

1. Pag-log in sa portal sa pagdumala sa IP-PBX gamit ang super admin account. Pagdala ngadto sa System Settings → Email Settings ug i-configure ang balido nga mga setting sa email nga magtugot sa IP-PBX sa pagpadala sa mga email. Siguroha nga ang Type field gitakda sa Kliyente.
2. Sa IP-PBX web UI, navigate sa Maintenance→User Management page, ug i-klik aron usbon ang impormasyon sa user. I-configure ang email address para sa admin.
3. I-enable ang Multi-Factor Authentication ug pilia ang TOTP Hardware Token sa mosunod nga prompt. Unya i-klik ang Sunod.
4. Ang mosunod nga hardware MFA device certification window makita:
5. Pagsulod sa sekreto nga yawe sa device. Palihug kontaka ang imong vendor aron makuha ang sekreto nga yawe.
   Nota
   Ang sekreto nga yawe kinahanglan nga default hex seeds (seeds.txt) o base32 seeds. Kay example:
   HEX SEED: B12345CCE6DA79B23456FE025E425D286A116826A63C84ACCFE21C8FE53FDB22 BASE32 SEED: WNKYUTRG3KE3FFTZ7UIO4QS5FBVBC2HJKY6IJLCP4QOH7ZJ12YUI====
6. Sa Code 1 field, isulod ang unom ka digit nga code nga gipakita sa MFA device. Kinahanglan nimong i-press ang buton sa atubangan sa MFA device aron ipakita ang code. Paghulat sa gibana-bana nga 30 segundos alang sa aparato nga makamugna og bag-ong code. Isulod kining ikaduhang unom ka digit nga code ngadto sa Code 2 field.
7. Pag-klik sa pagsugod sa pag-authenticate. Human mapasa ang authentication, i-klik ang save ug i-apply para mu-epekto ang mga setting. Karon ang imong account malampuson nga nahigot sa MFA device. Ang MFA device code kinahanglang isulod aron ang user maka-log in nga malampuson.
   Mga nota
   1. Palihug isumite dayon ang imong hangyo pagkahuman sa paghimo sa code. Kung dili, ang usa ka higayon nga password mahimong ma-expire. Kung na-expire na, palihug pagsugod pag-usab.
   2. Ang matag user mahimo ra mabugkos sa usa ka aparato sa MFA.

I-configure ang FIDO Security Key (CloudUCM Lamang)
Palihug sunda ang mga lakang sa ubos aron ma-configure ang FIDO security key authentication para sa CloudUCM:

1. Pag-log in sa CloudUCM management portal gamit ang super admin account. Pagdala ngadto sa System Settings → Email Settings ug i-configure ang balido nga mga setting sa email nga magtugot sa CloudUCM sa pagpadala sa mga email. Siguroha nga ang Type field gitakda sa Kliyente.
2. Sa CloudUCM web UI, navigate sa Maintenance→User Management page, ug i-klik aron usbon ang impormasyon sa user. I-configure ang email address para sa admin.
3. I-enable ang Multi-Factor Authentication ug pilia ang FIDO Security Key sa mosunod nga prompt. Unya i-klik ang Sunod.
4. Pilia kung asa ibutang ang imong passkey: sa imong iPhone, iPad, Android device, o pisikal nga yawe sa seguridad.
5. Kung gipili ang iPhone, iPad, o Android device, usa ka QR code ang ipakita sa sunod nga screen aron ma-scan gamit ang camera sa device. Kon pilion ang yawe sa seguridad, ang yawe kinahanglang isulod sa USB port sa kompyuter.
6. Sunda ang mga instruksyon base sa pinili nga paagi. Kung nahuman na, usa ka bintana sa kumpirmasyon ang makita aron mapamatud-an nga ang pag-authenticate sa FIDO malampuson nga nahimo.

PAGTANGTANG MFA DEVICE
Kung dili na kinahanglan ang MFA, ang MFA mahimong ma-disable para sa account bisan unsang orasa.

Pagtangtang sa MFA pinaagi sa Pagdumala sa Gumagamit

1. Pag-log in sa admin account aron ma-disable ang MFA. Pagdala ngadto sa Maintenance → User Management ug usba ang angay nga account.
2. I-uncheck ang Multi-Factor Authentication.

Pagtangtang sa MFA pinaagi sa Login Page

1. Sa panid sa pag-login, isulud ang mga kredensyal sa account. Sa higayon nga makita ang Multi-Factor Authentication window, i-klik ang Reset certification link sa ubos sa Login button.
2. Usa ka email sa pagtangtang sa MFA ang ipadala sa kauban nga email address sa user. Sa email, i-klik ang Reset Now nga buton aron makumpirma ug ma-disable ang MFA.
3. Kini nga email sa pag-reset mahimong balido sulod sa 10 ka minuto ug ma-expire dayon pagkahuman sa pag-klik sa usa ka user niini.

GISUPORTAHAN NGA MGA DEVICES
Ang mosunod nga talaan nagpakita sa tanang IP-PBX nga mga modelo nga nagsuporta sa multi-factor authentication feature:

Modelo	Minimum Firmware Bersyon	Authenticat ion nga App	TOTP Hardware Token	FIDO Seguridad yawe
UCM6301	Firmware 1.0.11.10 o mas taas pa
UCM6302	Firmware 1.0.11.10 o mas taas pa
UCM6304	Firmware 1.0.11.10 o mas taas pa
UCM6308	Firmware 1.0.11.10 o mas taas pa
UCM6300A	Firmware 1.0.11.10 o mas taas pa
UCM6302A	Firmware 1.0.11.10 o mas taas pa

UCM6304A	Firmware 1.0.11.10 o mas taas pa
UCM6308A	Firmware 1.0.11.10 o mas taas pa
CloudUCM	Firmware 1.0.25.13 o mas taas pa
SoftwareUCM	Firmware 1.0.27.13 o mas taas pa

FAQ

MFA Device Nawala o Invalidated
Kon ang imong MFA device nawala o wala na mogana, palihog sunda ang mga instruksyon sa ubos aron tangtangon ang MFA device ug mogamit ug bag-ong MFA device.

1. Sa panid sa pag-login, isulud ang mga kredensyal sa account. Sa higayon nga makita ang Multi-Factor Authentication window, i-klik ang Reset certification link sa ubos sa Login button.
2. Usa ka email sa pagtangtang sa MFA ang ipadala sa kauban nga email address sa user. Sa email, i-klik ang Reset Now nga buton aron makumpirma ug ma-disable ang MFA.
3. Kini nga pag-reset nga email mahimong balido sulod sa 10 ka minuto ug matapos dayon human kini ma-klik.

P: Mahimo ba nako gamiton ang parehas nga virtual nga aparato sa MFA alang sa daghang mga account?
A: Dili, ang matag tiggamit kinahanglan adunay usa ka talagsaon nga virtual nga aparato sa MFA nga gi-assign kanila alang sa mga hinungdan sa seguridad.

P: Ang mga virtual nga MFA device ba sama ka luwas sa pisikal nga MFA device?
A: Ang mga virtual nga MFA device mahimong modagan sa walay kasegurohan nga hardware, mao nga ang pisikal nga MFA device sa kasagaran giisip nga mas luwas.

Mga Dokumento / Mga Kapanguhaan

GRANDSTREAM IP-PBX Multi Factor Authentication [pdf] Giya sa Gumagamit UCM63xx nga serye, CloudUCM, SoftwareUCM, IP-PBX Multi Factor Authentication, IP-PBX, Multi Factor Authentication, Factor Authentication, Authentication

Mga pakisayran

• Manwal sa Gumagamit