Software OTP
Настройка параметров аутентификации
Перед настройкой групповой политики добавьте шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в папке Misc.
Настройка политик необходима для повышения уровня безопасности. Однако полноценная работа Software OTP Provider возможна и со значениями политик, определенными по умолчанию.
Длина одноразового пароля — политика определяет количество цифр в одноразовом пароле. Возможно задать значение 6 или 8. Если политика не определена, по умолчанию используется значение 6.
ВажноПри использовании провайдера Software OTP в сценариях с модулями Indeed Enterprise Single Sign-On и Indeed Windows Logon в настоящее время поддерживается использование только шестизначного пароля.
Время действия одноразового пароля — политика определяет, каким должен быть минимальный период действия одноразового пароля при обучении. Период задается целым числом от 3 до 18, где 3 соответствует временному промежутку в 30 секунд (+/- 15 секунд). Если политика не определена, по умолчанию используется значение 6.
Минимальная длина PIN-кода — политика позволяет задать минимальное количество символов, из которых должен состоять PIN-код. Допустимый диапазон от 4 до 25 символов.
Формат имени — политика позволяет задать параметр пользователя в качестве имени ОТР-аккаунта, который будет передаваться в QR-коде. Возможные параметры:
- CanonicalName,
- CN,
- DistiguishedName,
- FullName,
- Mail,
- PrincipalName,
- SamCompatibleName.
Политика применяется к серверам с установленной Management Console. Если политика не была применена, в качестве имени OTP-аккаунта будет использоваться имя пользователя.
Настройка алгоритма шифрования
В Indeed Access Manager 8.2 и выше вы можете задать алгоритм шифрования для Software OTP Provider. Если алгоритм шифрования не задан, по умолчанию используется значение SHA1. Настройку можно выполнить через GPO или редактор реестра Windows.
- Через GPO
- В реестре
Откройте редактор GPO.
Перейдите к Конфигурация компьютера→Административные шаблоны→ Indeed ID→Id Providers→SoftwareTOTP.
Включите политику Длина секрета и выберите необходимое значение.
Откройте редактор реестра на машине, где развернуты Management Console и User Console.
Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs и выберите или создайте раздел GoogleOTP.
Создайте параметр
SecretLength
типа DWORD и укажите одно из следующих значений в десятичной системе исчисления:- 20 — для алгоритма SHA1,
- 32 — для алгоритма SHA256,
- 64 — для алгоритма SHA512.