Приложения

В этом разделе вы можете добавить приложения, интегрированные с модулями ESSO Agent и NPS Radius Extension, в систему Indeed AM.

Примечание

Для добавления приложений необходима регистрация лицензии соответствующего модуля.

Остальные компоненты системы не требуют отдельного добавления, они автоматически добавляются в систему после регистрации лицензии.

Приложения для модуля ESSO Agent

Добавление приложений для модуля ESSO Agent

1. Откройте Management Console.

2. В левом меню в блоке Настройки выберите Приложения.

3. Нажмите Добавить приложение. 

   

4. В окне Добавить приложение выберите модуль интеграции Enterprise SSO, выберите файл шаблона для приложения и нажмите Создать.

Настройка приложений для модуля ESSO Agent

После успешной загрузки шаблона откроется страница с настройками приложения.

Общая информация

В данном разделе отображается информация о приложении из загруженного шаблона. 

1. Если требуется изменить название или описание, нажмите Редактировать и укажите требуемые данные и нажмите Сохранить. 

   

2. При необходимости можно загрузить логотип для приложения: 

   • В блоке Логотип нажмите Загрузить. Поддерживаются изображения формата JPG и PNG, максимальный размер — 512KB.

     

   • Выберите необходимый файл и нажмите Загрузить.

     

ESSO-шаблон

В данном разделе можно загрузить новый шаблон приложения или выгрузить использующийся в данный момент шаблон. 

Администраторы

В данном разделе можно добавить администраторов для данного приложения. 

1. Нажмите Добавить.

2. Выберите тип объекта — пользователь или группа.

3. Укажите расположение — весь пользовательский каталог или отдельный контейнер.

4. В поле Название введите имя или часть имени для поиска.

5. Нажмите Поиск. 

6. Выберите необходимого пользователя и нажмите Добавить.

   

   

Ярлыки

В данном разделе указывается информация для быстрого запуска приложения. 

Информация

Если при создании шаблона была указана данная информация, то она будет отображаться в данном разделе.

1. Нажмите Добавить ярлык.

2. В поле Описание укажите дополнительную информацию для создаваемого ярлыка.

3. В поле Тип выберите Командная строка.

4. В поле Адрес укажите полную команду для запуска приложения и нажмите Добавить.

   Информация

   На скриншоте представлена информация для веб-приложения.

   

Парольная политика

В данном разделе указывается политика для генерации пароля при его смене в приложении. 

1. В поле Минимальная длина пароля укажите минимальное количество символов пароля.

2. В поле Максимальное количество вхождений каждого символа укажите количество вхождений символов из группы символов. Для работы параметра необходимо создать группу символов.

   Информация

   При добавлении пользовательской группы укажите свою группу символов в поле Символы группы.

3. Нажмите Добавить группу.

   

4. В поле Тип группы выберите предлагаемые типы символов или пользовательский.

5. В поле Число символов укажите количество символов и нажмите Добавить.

Клиентские модули

В разделе Клиентские модули указывается целевой URL приложения или путь к исполняемому файлу. Значение данного параметра берется из шаблона, и при необходимости может быть изменено. Для изменения необходимо выполнить следующее: 

1. Выберите необходимый клиентский модуль и нажмите Редактировать.

   

2. Измените URL\Путь приложения. При необходимости использования регулярного выражения выберите Да в опции Использовать регулярное выражение.

Приложения для модуля NPS Radius Extension

Перед добавлением интегрированного приложения вы должны выполнить следующие предварительные действия:

• настроить модуль NPS Radius Extension;
• установить и настроить провайдеры аутентификации;
• интегрировать бизнес-приложение с NPS Radius Extension.

Примеры интеграции бизнес-приложений:

• Настройка Cisco ASA для аутентификации через Indeed NPS RADIUS Extension
• Настройка FortiGate VM для двухфакторной аутентификации через Indeed NPS Radius Extension
• Установка и настройка аутентификации по ОТР в Citrix Netscaler

Добавление приложений для модуля NPS Radius Extension

Чтобы добавить приложение, интегрированное с NPS Radius Extension, выполните следующие действия:

1. В Management Console нажмите Приложения.

2. Нажмите кнопку Добавить приложение.

3. В появившемся окне выберите NPS Radius Extension и введите название приложения. Нажмите кнопку Создать.

   Важно

   • название приложения должно быть уникальным;
   • нельзя добавить еще одно приложение, если вы не изменили IP-адрес по умолчанию у ранее добавленного приложения.

Далее необходимо настроить добавленное приложение:

1. Перейдите в список приложений и выберите название недавно созданного приложения.

2. Измените значение поля IP-адрес сервера приложений. Вы можете указать несколько значений через запятую.

   Поддерживаются форматы IPv4, IPv6. Также вы можете использовать маску/префикс для указания подсети.

   Примеры адресов

   Корректные адреса:

   • 192.168.0.1/24
   • 172.16.3.251
   • 10.0.0.1
   • 21:db8:58:74:1c60:2c18::4/64

   Некорректные адреса:

   • 192.168.0.300 — некорректный IPv4;
   • 172.16.3.251/33 — некорректная маска сети;
   • fe80::1%eth0 — некорректный IPv6;
   • 21:db8:58:74:1c60:2c18:0:4/129 — некорректная маска сети;
   • example.com — не является IP-адресом.
   Важно

   Все приложения, работающие через NPS (Network Policy Server) с установленным Radius Extension, должны быть добавлены в Access Manager в разделе Приложения, даже если аутентификация не будет производиться через Access Manager. Вход в недобавленные приложения будет невозможен.

3. Опционально выдайте права на доступ в приложения для тех пользователей, на которых не распространяются правила Access Manager (например, для пользователей из другого домена).

Настройка приложений для компонента NPS Radius Extension

Добавление в политику

Чтобы добавить приложение NPS Radius Extension в политику, выполните следующие действия:

1. Перейдите в раздел Политики.
2. Выберите политику из списка.
3. На странице политики в меню слева выберите Приложения.
4. Нажмите кнопку Добавить приложение.
5. Из выпадающего списка выберите добавленное приложение.

Настройка аутентификатора

Для приложений, интегрированных с Radius Extension, может быть выбран только один способ входа. При добавлении приложения в политику по умолчанию включается первый способ входа из доступных.

В списке доступных методов аутентификации отображаются провайдеры, доступные на вашем сервере Аccess Мanager и поддерживаемые RADIUS-приложениями.

Поддерживается как однофакторная, так и двухфакторная аутентификация.

Настройка 1FA

Чтобы настроить однофакторную аутентификацию, выполните следующее:

1. Установите необходимый провайдер аутентификации на сервер Indeed AM.
2. В Management Console выберите политику.
3. В меню слева в разделе Приложения выберите приложение.
4. В списке Метод аутентификации выберите провайдер из списка 1FA.
5. Сохраните изменения.

Доступные способы входа по однофакторной аутентификации:

• Software TOTP;
• Secured TOTP;
• Passcode;
• Hardware HOTP;
• Hardware TOTP.

Настройка 2FA

Чтобы настроить двухфакторную аутентификацию, выполните следующее:

1. Установите провайдеры из каталога Indeed AM <номер версии>\Indeed AM Providers\Indeed AM Radius Providers\<номер версии> на сервер Indeed AM.
2. В Management Console выберите политику.
3. В меню слева в разделе Приложения выберите приложение.
4. В списке Метод аутентификации выберите провайдер из списка 2FA.
5. Сохраните изменения.

Доступные способы входа по двухфакторной аутентификации:

• Windows Password + Secured TOTP;
• Windows Password + SMS OTP;
• Windows Password + Telegram (только в режиме отправки одноразовых паролей);
• Windows Password + Email OTP;
• Windows Password + Indeed Key (только в режиме отправки push-уведомлений с подтверждением входа);
• Passcode + Software TOTP;
• Passcode + Indeed Key (только в режиме отправки push-уведомлений с подтверждением входа);;
• Passcode + Secured TOTP.

Повторные запросы на аутентификацию

Примечание

Это необязательная настройка. Используйте эту настройку только если вы наблюдаете дублирование запросов на аутентификацию. Это может происходить, например, когда пользователь не успевает подтвердить вход через push-уведомление и получает его повторно.

Запрос считается повторным, если значения всех указанных вами атрибутов в настройке совпадают со значениями в кешированном запросе. При обнаружении повторного запроса вы можете отклонить или проигнорировать запрос. При игнорировании сервер Radius не отправляет ответ на повторный запрос, при отклонении отправляет ответ Access-Reject.

В качестве атрибутов могут выступать имя пользователя, пароль, IP-адрес, с которого отправляется запрос на аутентификацию, и т.д. Атрибуты указываются в виде чисел. Подробнее о поддерживаемых атрибутах вы можете узнать в этой статье.

Вы можете указать несколько значений атрибутов через запятую. По умолчанию заданы 1 (User-Name) и 264 (Request authenticator).