Istruzione Operativa Manuale per l’accesso a risorse web di Aulss9 con autenticazione MFA | A_A1_I.O.R.01.Accesso a risorse web di Aulss9 con autenticazione MFA |
UOC Sistemi Informativi
Direttore ing. Giorgio Roncolato
MANUALE PER L’ACCESSO A RISORSE WEB DI AULSS9 CON AUTENTICAZIONE MFA |
Rev. n° | Descrizione della modifica | Data approvazione |
0 | Prima emissione | 2 aprile 2025 |
1 | Prima revisione ( inserimento fonti normative ) | 13 giugno 2025 |
Redatta/ Aggiornata da:
| Verificata da:
| Approvata da:
| |
|
|
| |
Collaboratori alla redazione | |
Fabio Toso | IFO SI_IP30 GESTIONE POSTAZIONI DI LAVORO E SICUREZZA |
LISTA DI DISTRIBUZIONE
A | C | |
UOC Sistemi Informativi | X | |
Vodafone ( Accordo Quadro SGM ed. 1 ) e partner in subappalto: Rtc, Stt, Mead,Infonet. | X | |
Aziende o società terze fornitori o accreditati di Aulss9 | X | |
Dipendenti o convenzionati in regime di pronta disponibilità o smartworking | X |
A = per applicazione C = per conoscenza
RISERVATEZZA
Livello di classificazione |
Confidenziale |
ARCHIVIAZIONE
UOC Sistemi Informativi |
Primo fattore di autenticazione ( credenziali aziendali ) 4
Secondo fattore di autenticazione 4
Autenticazione mediante posta elettronica 5
One Time Password Authenticator. 6
Primo accesso app Android/iOS Authenticator 6
Scopo del documento
L’obiettivo di questo documento è di descrivere l’autenticazione a due fattori implementato per AULSS9.
Premessa
In ottemperanza alle linee guida della Legge 90/2024 e del D.lgs. n. 138/2024 art. 24, lettera l. (recepimento NIS 2) è obbligatorio attivare sistemi di autenticazione a più fattori ( Multi Factor Authentication o MFA) per accedere a risorse esposte in Internet utilizzando credenziali Aziendali.
Secondo la definizione di ACN ( Agenzia Nazionale per la Cybersecurity) si tratta di un “Metodo di autenticazione in cui l’utente deve fornire più di un fattore per qualificare la propria identità e ottenere quindi l’accesso a una risorsa”. Esempi di questi fattori sono:
- qualcosa che solo l’utente conosce (tipicamente una password)
- qualcosa che possiede (come una smart card o un token che genera una One Time Password), o che lo caratterizza a livello biometrico (impronta digitale, volto, iride ecc.)
In pratica si tratta di un processo in cui, successivamente all’inserimento dell’utente e della password ( ciò che si conosce ) si richiede l’inserimento di un ulteriore codice o PIN ( ciò che si possiede ) allo scopo di mitigare il rischio di accessi non autorizzati a causa di furto di identità.
E’ importante ricordare che il fattore “che si possiede” è a sua volta suscettibile di tentativi di furto o esfiltrazione da parte di hacker per cui esiste una gerarchia di preferenze nella scelta del token, nell’ordine:
- Authenticator su smartphone: applicazione scaricabile gratuitamente per Android e iOS;
- numero di telefono cellulare o fisso aziendale: si può utilizzare anche il numero di telefono cellulare o fisso come secondo fattore di autenticazione, nel primo caso il codice OTP per l’accesso arriverebbe via SMS o chiamata mentre nel caso del telefono fisso solo con una chiamata;
Primo fattore di autenticazione ( credenziali aziendali )
Il primo step consiste nell’inserire nel browser l’URL del sito a cui si deve accedere a cui segue un reindirizzamento automatico al portale del servizio di autenticazione centralizzata (CAS) di Aulss9. A questo punto si deve procedere con l’inserimento dello username con la relativa password rilasciati da Aulss9:
Secondo fattore di autenticazione
Il sistema CAS di Aulss9 mette a disposizione la possibilità di ricevere il codice monouso in due modi differenti per autenticarsi con il secondo fattore:
- One Time Password Authenticator
NOTE: Se l’utente del suddetto dominio non presenta nessun valore all’interno del campo mail, l’opzione mediante email sarà ancora disponibile, ma cliccandoci sopra verrà avvisato, da un pop-up di errore, circa la sua impossibilità di utilizzo
Autenticazione mediante posta elettronica
Selezionando l’opzione “Autenticazione mediante posta elettronica” l’utente riceverà nella propria casella mail un codice monouso OTP di 6 cifre che dovrà inserire all’interno della schermata.
L’email impostata per questo campo è la stessa a cui viene inviato il codice monouso per il ripristino della password.
L’utente avrà 120 secondi di tempo per accedere prima della scadenza del codice monouso OTP..
One Time Password Authenticator.
Selezionando l’opzione “One Time Password Authenticator” si andrà ad usare l’app di autenticazione preferita (Google Authenticator,Microsoft Authenticator, Duo Mobile, ecc) per la generazione del token monouso OTP.
Primo accesso app Android/iOS Authenticator
Per poter sfruttare il meccanismo messo a disposizione dall’ app di autenticazione è necessario seguire i passaggi sotto indicati:
- scaricare ed installare una app di autenticazione, quale Microsoft Authenticator, Google Authenticator, Duo Mobile, IBM Verify, ecc)
- scansionare il codice QR (immagine a seguire)
- OPPURE inserire manualmente il codice alfanumerico proposto sotto il QR code (immagine a seguire)
- usare il codice generato tramite l’applicazione, per inserirlo nella pagina web in cui viene richiesto il codice OTP, in modo da validare il proprio dispositivo con cui si generano i codici monouso OTP
ATTENZIONE
Si raccomanda di salvare la chiave segreta in un luogo sicuro poiché potrebbe essere utilizzata con app Authenticator di altri fornitori.
Una volta completata la registrazione sull’app Authenticator ( qualunque essa sia) , una nuova schermata confermerà che l’account è stato aggiunto e un codice numerico di 6 cifre sarà disponibile sul display dello smartphone/tablet.
Il passaggio finale è quello di riportare il codice generato per completare la procedura di attivazione dell’autenticazione a due fattori.
Una volta completata la registrazione, il portale CAS presenterà la form per inserire il token OTP e al termine si verrà reindirizzati sull’URL dell’applicazione aziendale.
Nota bene.
Le credenziali di accesso agli applicativi aziendali non sempre coincidono con quelle oggetto di questo documento per cui, al termine dei processi di autenticazione e accesso da remoto, potrebbe essere richiesto di inserire ulteriori credenziali applicative. Per quest’ultime rimangono valide le procedure per l’abilitazione all'uso delle applicazioni di AULSS n. 9 Scaligera contattando gli uffici preposti.
Per gli operatori attualmente privi delle credenziali applicative e per tutte le nuove richieste future, la procedura rimane invariata e si dovrà contattare il competente ufficio dell’azienda ULSS n. 9 Scaligera.
Nel caso in cui un collaboratore abbia accesso a più applicazioni si dovranno compilare una riga per ciascuna applicazione.
Risoluzione dei problemi
Per verificare il corretto funzionamento dei metodi MFA con le proprie credenziali si deve accedere al portale https://testmfa.aulss9.veneto.it/
prima di effettuare l’accesso alla risorsa web assegnata ( woe, silor4, ecc.ecc.) .
In caso di esito positivo apparirà una pagina web con un messaggio “Verifica avvenuta con successo”, a questo punto si può effettuare l’accesso alla risorsa di cui si necessita.
Nel caso in cui appaia questa immagine
o un altro messaggio differente si deve contattare l’help desk al numero 0458075555 per le attività correttive necessarie.
Autore | UOC Sistemi Informativi | Data | 13/06/2025 |
Confidenzialità | Confidenziale | Rev. | 1 |
Titolo documento | Manuale per l’accesso a risorse web di Aulss9 con autenticazione MFA | Pagina di | |