Перейти к основному содержимому

Модуль NPS Radius Extension

В разделе Приложения можно добавить приложения, интегрированные с модулем NPS Radius Extension, а также при необходимости задать их дополнительные настройки.

Предварительная настройка

Перед добавлением интегрированного приложения:

  1. Настройте модуль NPS Radius Extension.
  2. Зарегистрируйте лицензию в Management Console.
  3. Установите и настройте провайдеры аутентификации.
  4. Интегрируйте бизнес-приложение с NPS Radius Extension.

Примеры интеграции бизнес-приложений:

Важно

Если приложения работают через NPS (Network Policy Server) с установленным RADIUS Extension, но аутентификация для них будет осуществляться не через Access Manager, настройте для них доступ в Management Console в разделе Конфигурация. В противном случае вход в эти приложения будет невозможен.

Добавить приложение

Чтобы добавить приложение, интегрированное с NPS RADIUS Extension:

  1. На боковой панели Management Console откройте раздел Приложения.

  2. Нажмите Добавить приложение.

  3. В открывшемся окне выберите NPS Radius Extension и введите название приложения. Название должно быть уникальным.

  4. Нажмите Создать.

    Примечание

    Нельзя добавить еще одно приложение, если вы не изменили IP-адрес по умолчанию у ранее добавленного приложения.

  5. В открывшемся окне приложения перейдите на вкладку RADIUS.

  6. Измените значение поля IP-адрес сервера приложений. Можно указать несколько значений через запятую. Поддерживаются форматы IPv4 и IPv6. Также можно использовать маску или префикс для указания подсети.

Примеры адресов

Корректные адреса

  • 192.168.0.1/24
  • 172.16.3.251
  • 10.0.0.1
  • 21:db8:58:74:1c60:2c18::4/64

Некорректные адреса

  • 192.168.0.300 — некорректный IPv4;
  • 172.16.3.251/33 — некорректная маска сети;
  • fe80::1%eth0 — некорректный IPv6;
  • 21:db8:58:74:1c60:2c18:0:4/129 — некорректная маска сети;
  • example.com — не является IP-адресом.

Добавить в политику

Чтобы настройки приложения были применены для пользователей, добавьте приложение в политику. Сделать это можно только при наличии зарегистрированной лицензии для данного модуля.

Чтобы добавить приложение в политику:

  1. Перейдите в раздел Политики.
  2. Выберите политику из списка.
  3. В карточке политики перейдите на вкладку Приложения.
  4. Нажмите Добавить приложение.
  5. Из выпадающего списка выберите приложение.
  6. Нажмите Добавить.

Приложение отобразится в списке добавленных приложений.

Настроить аутентификатор

Для приложений, интегрированных с Radius Extension, можно выбрать только один способ входа. При добавлении приложения в политику по умолчанию включается первый способ входа из доступных.

В списке доступных методов аутентификации отображаются провайдеры, установленные на Core Server и поддерживаемые RADIUS-приложениями.

Поддерживается как однофакторная, так и двухфакторная аутентификация.

Предварительная настройка

Прежде чем настроить однофакторную или двухфакторную аутентификацию, установите провайдеры из каталога Indeed AM <номер версии>\Indeed AM Providers\Indeed AM Radius Providers\<номер версии> на Core Server.

Чтобы настроить однофакторную аутентификацию:

  1. На боковой панели Management Console откройте раздел Политики.
  2. Выберите политику.
  3. Перейдите на вкладку Приложения
  4. Выберите приложение, интегрированное с NPS Radius Extension.
  5. В списке Метод аутентификации выберите провайдер с префиксом 1FA.
  6. Нажмите Сохранить.

Доступные способы входа по однофакторной аутентификации:

  • Secured TOTP;
  • Hardware HOTP;
  • Passcode;
  • Software TOTP;
  • Hardware TOTP.

Опциональные настройки

Изменить общую информацию
  1. В карточке приложения на вкладке Общая информация нажмите Редактировать.
  2. Измените название или описание приложения.
  3. Нажмите Сохранить.
Загрузить логотип
  1. На вкладке Общая информация в разделе Логотип нажмите Загрузить. Поддерживаются изображения формата JPG и PNG, максимальный размер — 512KB.
  2. Выберите файл.
  3. Нажмите Загрузить.
Настроить доступ к приложениям для пользователей вне политик доступа

При необходимости можно разрешить или запретить доступ в приложения для тех пользователей, на которых не распространяются политики доступа Access Manager (например, для пользователей из другого домена). Для этого:

  1. В карточке приложения перейдите на вкладку RADIUS.
  2. В настройке Если для пользователя не заданы параметры доступа в приложение разрешите или запретите доступ.
  3. Нажмите Сохранить.
Настроить обработку повторных запросов на аутентификацию

При необходимости можно настроить обнаружение и обработку дубликатов запросов на аутентификацию. Эта необязательная настройка может быть полезна, когда наблюдаются повторные запросы. Например, если пользователь не успевает подтвердить вход через push-уведомление и получает его повторно.

Чтобы настроить обработку повторных запросов на аутентификацию:

  1. В карточке приложения на вкладке RADIUS включите опцию Включить обнаружение и обработку дубликатов запросов на аутентификацию.

  2. В поле Атрибуты запроса для поиска дубликатов введите значения атрибутов Radius. Можно указать несколько значений через запятую. Значения по умолчанию — 1 (User-Name) и 264 (Request authenticator).

    В качестве атрибутов могут выступать имя пользователя, пароль, IP-адрес, с которого отправляется запрос на аутентификацию, и другие параметры. Запрос считается повторным, если значения всех указанных атрибутов в настройке совпадают со значениями в кешированном запросе. Подробнее о поддерживаемых атрибутах RADIUS — в официальной документации Cisco.

  3. Выберите тип ответа на дубликаты запросов:

  • Discard — проигнорировать. В этом случае сервер RADIUS не отправляет ответ на повторный запрос;
  • Reject — отклонить. В этом случае при повторном запросе сервер RADIUS отправляет ответ Access-Reject (Доступ отклонен).
  1. Нажмите Сохранить.