Software OTP

Настройка параметров аутентификации

Перед настройкой групповой политики добавьте шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в папке Misc.

Примечание

Настройка политик необходима для повышения уровня безопасности. Однако полноценная работа Software OTP Provider возможна и со значениями политик, определенными по умолчанию.

• Длина одноразового пароля — политика определяет количество цифр в одноразовом пароле. Возможно задать значение 6 или 8. Если политика не определена, по умолчанию используется значение 6.

  Важно

  При использовании провайдера Software OTP в сценариях с модулями Indeed Enterprise Single Sign-On и Indeed Windows Logon в настоящее время поддерживается использование только шестизначного пароля.

• Время действия одноразового пароля — политика определяет, каким должен быть минимальный период действия одноразового пароля при обучении. Период задается целым числом от 3 до 18, где 3 соответствует временному промежутку в 30 секунд (+/- 15 секунд). Если политика не определена, по умолчанию используется значение 6.

• Минимальная длина PIN-кода — политика позволяет задать минимальное количество символов, из которых должен состоять PIN-код. Допустимый диапазон от 4 до 25 символов.

• Формат имени — политика позволяет задать параметр пользователя в качестве имени ОТР-аккаунта, который будет передаваться в QR-коде. Возможные параметры:

  • CanonicalName,
  • CN,
  • DistiguishedName,
  • FullName,
  • Mail,
  • PrincipalName,
  • SamCompatibleName.

Примечание

Политика применяется к серверам с установленной Management Console. Если политика не была применена, в качестве имени OTP-аккаунта будет использоваться имя пользователя.

Настройка алгоритма шифрования

В Indeed Access Manager 8.2 и выше вы можете задать алгоритм шифрования для Software OTP Provider. Если алгоритм шифрования не задан, по умолчанию используется значение SHA1. Настройку можно выполнить через GPO или редактор реестра Windows.

Через GPO

1. Откройте редактор GPO.

2. Перейдите к Конфигурация компьютера→Административные шаблоны→ Indeed ID→Id Providers→SoftwareTOTP.

3. Включите политику Длина секрета и выберите необходимое значение.

В реестре

1. Откройте редактор реестра на машине, где развернуты Management Console и User Console.

2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs и выберите или создайте раздел GoogleOTP.

3. Создайте параметр SecretLength типа DWORD и укажите одно из следующих значений в десятичной системе исчисления:

   • 20 — для алгоритма SHA1,
   • 32 — для алгоритма SHA256,
   • 64 — для алгоритма SHA512.