1. Tổng quan

• Định nghĩa: Tính năng cho phép quản trị viên (Admin) thiết lập các quy tắc bắt buộc về định dạng tài khoản, mật khẩu, thời gian duy trì phiên làm việc và các biện pháp bảo mật đăng nhập trên toàn hệ thống.
• Giá trị: Đảm bảo an toàn thông tin, kiểm soát rủi ro truy cập trái phép và tuân thủ các quy định bảo mật của Nhà nước Việt Nam (ví dụ: Thông tư 09/2020/TT-NHNN).
• Đối tượng sử dụng: Quản trị viên hệ thống (Admin).

2. Giải thích Thuật ngữ & Thông số

• Thời gian phiên đăng nhập (Session Timeout): Khoảng thời gian tối đa người dùng không tương tác với hệ thống trước khi bị tự động đăng xuất.
• Thời gian hết hạn Token (Token Expiry): Thời hạn hiệu lực của mã định danh sau khi đăng nhập thành công. Khi hết hạn, người dùng phải đăng nhập lại để lấy token mới.
• Khóa tài khoản: trạng thái tạm dừng quyền truy cập của tài khoản sau một số lần đăng nhập sai liên tiếp.

3. Điều kiện tiên quyết (Prerequisite)

• Phân quyền: Tài khoản Mobio phải được cấp quyền RBAC: DECENTRALIZE_ADMIN (Xem hướng dẫn thiết lập quyền RBAC tại đây)
  • Cài đặt > Cài đặt doanh nghiệp > Phân quyền quản trị > Chính sách truy cập
  • Cài đặt > Cài đặt doanh nghiệp > Phân quyền quản trị > Chính sách truy cập > Chi tiết
• Đường dẫn truy cập: Chọn biểu tượng Cài đặt → Quản lý cơ cấu tổ chức → Tài khoản → Chọn Chính sách tài khoản.

4. Các bước thực hiện

Thiết lập Quy tắc đặt tên tài khoản

• Nhấn vào biểu tượng Sửa tại khung Quy tắc đặt tên tài khoản.
• Nhập Độ dài tối thiểu và Độ dài tối đa của tên tài khoản.
• Tích chọn các Loại ký tự bắt buộc phải có (Số, Ký tự đặc biệt).
• Nhấn Lưu để áp dụng.

Thiết lập Quy tắc đặt mật khẩu

• Nhấn vào biểu tượng Sửa tại khung Quy tắc đặt mật khẩu.
• Thiết lập độ dài và các loại ký tự bắt buộc (Chữ in hoa, in thường, số, ký tự đặc biệt).
• Gạt nút Bật/Tắt các quy tắc bảo mật bổ sung:
  • Bắt buộc đổi mật khẩu định kỳ (tùy chọn tần suất, ví dụ: 1 tháng/lần).
  • Mật khẩu mới không được trùng với mật khẩu cũ (tùy chọn số lượng mật khẩu gần nhất được kiểm tra).
  • Bắt buộc đổi mật khẩu vào lần đăng nhập đầu tiên.
  • Mật khẩu không trùng với ID tài khoản hoặc tên đăng nhập.
• Nhấn Lưu.

Cấu hình Thời gian phiên đăng nhập

• Nhấn vào biểu tượng Sửa tại khung Yêu cầu về thời gian phiên đăng nhập.
• Gạt nút bật/tắt để áp dụng hoặc bỏ áp dụng quy tắc cho website hoặc app.
  • Lưu ý: Nếu chọn OFF, người dùng sẽ không bị tự động đăng xuất ngay cả khi không thao tác.
• Chọn thời gian trong danh sách thả xuống (10, 20, 30, 60, 90, 120 phút).
• Nhấn Lưu. Hệ thống sẽ hiển thị Popup xác nhận:
  • Yêu cầu người dùng đăng nhập lại: Vô hiệu hóa toàn bộ token hiện tại (trừ Admin đang cấu hình). Người dùng phải đăng nhập lại để áp dụng chính sách mới.
  • Duy trì đăng nhập của người dùng: Chính sách mới chỉ áp dụng cho các phiên đăng nhập sau này.

• Nhấn vào biểu tượng Sửa tại khung Yêu cầu về thời gian hết hạn token.
• Nhập giá trị số và chọn đơn vị thời gian (Phút, Tiếng, Ngày) cho Website và App.
  • Mặc định Mobio: 1 ngày trên Web và 8 ngày trên App.
• Nhấn Lưu và lựa chọn phương thức cập nhật tại Popup xác nhận (tương tự mục 4.3).

Thiết lập Quy tắc khóa tài khoản

• Gạt nút Bật tại dòng “Tài khoản sẽ bị khóa sau một số lần đăng nhập không thành công liên tiếp”.
• Nhập Số lần đăng nhập sai tối đa (ví dụ: 5 lần).
• Nhập Thời gian mở khóa tự động (tính bằng Phút).
• Nhấn Lưu.

5. Quy tắc vận hành & Use case

Đây là logic vận hành quan trọng giúp Admin kiểm soát hệ thống hiệu quả:

• Phân biệt Session và Token:
  • Thời gian phiên (Session Timeout) được tính dựa trên thời gian user không hoạt động. Nếu người dùng không thao tác (click chuột/gõ phím) trên tab Mobio trong khoảng thời gian đã cấu hình, hệ thống sẽ tự đăng xuất.
    • Mục đích: Bảo vệ tài khoản khi người dùng rời máy tính mà quên khóa màn hình.
  • Thời gian hết hạn Token (Token Expiry) được tính dựa trên tổng thời gian đăng nhập. Dù người dùng đang thao tác liên tục, khi đạt đến thời hạn đã cấu hình, hệ thống vẫn bắt buộc người dùng đăng nhập lại.
    • Mục đích: Giảm thiểu rủi ro khi token bị đánh cắp.
• Cơ chế áp dụng thay đổi (Popup Xác nhận):
  • Lựa chọn yêu cầu người dùng đăng nhập lại: Ngay khi Admin nhấn Lưu, toàn bộ người dùng đang online trên hệ thống sẽ bị logout ngay lập tức. Đây là hành động “triệt để” nhằm đảm bảo 100% tài khoản tuân thủ chính sách bảo mật mới ngay lập tức.
  • Lựa chọn [Duy trì đăng nhập của người dùng]: Những người đang online sẽ không bị ảnh hưởng. Chính sách mới chỉ có hiệu lực kể từ lần đăng nhập tiếp theo của họ.
• Logic cho Website và App: Hệ thống tách riêng hai môi trường này vì thói quen sử dụng App Mobile thường duy trì đăng nhập lâu hơn (ví dụ: Token App mặc định 8 ngày) trong khi Website cần bảo mật cao hơn (mặc định 1 ngày).
• Cơ chế khóa tài khoản: Khi bật tính năng này, hệ thống sẽ ghi nhận số lần nhập sai mật khẩu của một ID tài khoản. Nếu vượt quá ngưỡng cấu hình (ví dụ: 5 lần), tài khoản sẽ bị khóa “cứng” trong thời gian đã cấu hình. Dù nhập đúng mật khẩu trong lúc đang bị khóa, người dùng vẫn không thể truy cập.
• Ràng buộc mật khẩu: Nếu Admin đặt là 3, người dùng sẽ không thể sử dụng lại bất kỳ mật khẩu nào trong 3 lần đổi gần nhất.
  • Mục đích: giảm thiểu rủi ro lộ thông tin mật khẩu.

6. Các câu hỏi thường gặp (FAQ)

• Hỏi: Tại sao tôi đã đổi thời gian phiên đăng nhập nhưng nhân viên vẫn chưa bị đăng xuất?
  • Trả lời: Khi lưu cấu hình, Admin chọn “Duy trì đăng nhập của người dùng”. Hãy chọn “Yêu cầu đăng nhập lại” nếu muốn áp dụng ngay lập tức cho toàn bộ tài khoản đang online.
• Hỏi: Tài khoản bị khóa do đăng nhập sai có thể mở thủ công không?
  • Trả lời: Bạn có thể thử lại sau vài phút hoặc liên hệ quản trị viên hệ thống để được hỗ trợ.

7. Bước tiếp theo

• Quản trị tài khoản người dùng
• Xem nhật ký hoạt động hệ thống