Indeed Key Provider
Для аутентификации с помощью push-уведомлений есть следующие требования:
В сетевой инфраструктуре:
- Установка сервера Indeed Key Server. Данный сервер выполняет отправку уведомлений на смартфон пользователя с помощью сервисов API Google.
- Установка провайдера аутентификации Indeed Key. Установка провайдера позволит использовать данную технологию аутентификации в целевых сценариях.
На стороне клиента:
- Установка приложения Indeed Key. Приложение необходимо для получения уведомлений об аутентификации в целевых приложениях с помощью компонентов Indeed Access Manager.
Без установки Indeed Key Server, Indeed Key Provider и приложения Indeed Key аутентификация с помощью push-уведомлений невозможна.
Indeed Key Provider может быть использован для аутентификации в следующих модулях:
- Identity Provider,
- Windows Logon,
- Enterprise SSO,
- ADFS Extension,
- NPS Radius Extension(только в режиме отправки push-уведомлений с подтверждением входа),
- IIS Extension(только в режиме отправки push-уведомлений с подтверждением входа),
- RDP Windows Logon(только в режиме отправки push-уведомлений с подтверждением входа).
{DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
Файлы для установки
Файлы для Indeed AM Key Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM AirKey Provider.
- Server\<Номер версии>\IndeedAM.AuthProviders.IndeedKey-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed AM Key Provider на сервере Indeed AM на 64-битных ОС;
- Server\<Номер версии>\IndeedAM.AuthProviders.IndeedKey-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed AM Key Provider на сервере Indeed AM на 32-битных ОС;
- Client\<Номер версии>\IndeedID.IndeedKey.Provider.msi — пакет для установки Indeed AM Key Provider на клиентской машине.
Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates.
Установка провайдера Indeed Key
Выполните установку Key Provider на сервере Indeed AM и на клиентской машине через запуск соответствующего пакета для установки.
Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent выполните установку провайдера из папки Client на клиентские машины.
После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка провайдера Indeed Key в Management Console
Права доступа
Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:
- В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор Indeed Key.
- В секции Основные настройки выполните следующие настройки:
- В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
- В секции Доступные пользователю действия выполните следующие настройки:
- В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы;
- В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы;
- В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы;
- В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.
Блокировка аутентификатора
Чтобы заблокировать аутентификатор, выполните следующее:
- В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор Indeed Key.
- В секции Настройки блокировки аутентификатора выполните следующие настройки:
- Разрешите или заблокируйте использование Indeed Key в случае серии неудачных попыток аутентификации;
- В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации;
- В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик;
- В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.
Настройки мобильного приложения
Чтобы настроить мобильное приложение Indeed Key, выполните следующее:
- В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор Indeed Key.
- В секции Настройки мобильного приложения выполните следующие настройки:
- В поле Отображаемое имя сервера укажите название сервера Indeed Key, которое будет отображаться в мобильном приложении;
- В настройке Способ подтверждения Push выберите, как у пользователя будет запрашиваться подтверждение входа:
- Подтверждение не требуется — у пользователя не будет запрашиваться дополнительная аутентификация на устройстве;
- Подтверждение биометрическими средствами — у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью биометрии;
- Подтверждение любыми средствами, доступными на устройстве — у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью любого доступного на устройстве метода;
- В настройке Отображать одноразовый пароль в мобильном приложении для новых аутентификаторов укажите, будет ли отображаться одноразовый код в карточке аутентификатора в приложении. По умолчанию одноразовый код скрыт.
- В настройке Способ подтверждения для отображения OTP выберите, как пользователь будет подтверждать право просматривать одноразовые коды:
- Подтверждение не требуется — у пользователя не будет запрашиваться дополнительная аутентификация на устройстве;
- Подтверждение биометрическими средствами — у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью биометрии;
- Подтверждение любыми средствами, доступными на устройстве — у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью любого доступного на устройстве метода;
- В поле Время отображения OTP укажите, в течение какого времени будет актуален одноразовый пароль. Значение указывается в секундах.
- В настройке Режим работы Indeed Key выберите, какой способ подтверждения входа будет использоваться в приложении:
- Push — пользователь будет получать push-уведомления с возможностью отклонить или подтвердить вход.
- OTP — вместо push-уведомлений пользователь получит одноразовый код.
Серверные настройки
Чтобы настроить сервер, к которому обращается приложение Indeed Key, выполните следующее:
- В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор Indeed Key.
- В секции Серверные настройки мобильного приложения выполните следующие настройки:
- В поле URL-адрес Indeed Key Server укажите адрес, по которому сервер Indeed Key доступен с машины Indeed AM;
- В поле Доверенный ID Indeed Key Server укажите произвольный уникальный идентификатор. Этот идентификатор необходим для подтверждения удаления аутентификатора. Значение идентификатора должно совпадать со значением, указанным в конфигурационном файле Indeed Key Server (тег
trustedClients).
Настройки одноразового пароля
Чтобы настроить генерацию одноразового пароля, выполните следующее:
- В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Indeed Key.
- В секции Настройки OTP выполните следующие настройки:
- В поле Период обновления OTP укажите, на протяжение какого времени будет актуален одноразовый пароль;
- В настройке Окно сравнения укажите, сколько периодов обновления должно пройти, пока одноразовый пароль не будет считаться недействительным;
- В настройке Алгоритм генерации OTP-кода выберите, по какому алгоритму будет генерироваться одноразовый пароль;
- В настройке Количество цифр в OTP-коде выберите, сколько цифр будет содержать одноразовый пароль.
Регистрация аутентификатора Indeed Key по ссылке
Для регистрации аутентификатора Indeed Key по ссылке из письма необходимы следующие условия:
- установленный и настроенный провайдер Email OTP,
- заполненный email пользователя в каталоге Active Directory.
Ссылка отправляется на электронный адрес, указанный для пользователя в каталоге Active Directory.
Чтобы зарегистрировать Indeed Key по ссылке, выполните следующее:
- В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Indeed Key.
- В секции Настройки регистрации выполните следующие настройки:
- В настройке Способ регистрации аутентификатора выберите способ регистрации по ссылке из электронного письма.
- Далее укажите следующее:
- В поле Тема уведомления укажите заголовок письма для регистрации.
- В поле Сообщение укажите тело письма.
- В поле Текст ссылки укажите текст для ссылки, по которой перейдет пользователь для регистрации аутентификатора.
- Далее перейдите в раздел Пользователи, выберите пользователя, выберите вкладку Аутентификаторы.
- Нажмите кнопку Зарегистрировать и выберите из списка Indeed Key.
После этого пользователю придет письмо со ссылкой на регистрацию аутентификатора. По ссылке пользователь перейдет в приложение Indeed Key, где начнется регистрация аутентификатора.
Регистрация аутентификатора Indeed Key по QR-коду
Чтобы зарегистрировать Indeed Key по QR-коду, выполните следующее:
- В Management Console в разделе Доступные пользователю действия разрешите пользователю регистрировать новые аутентификаторы.
- В настройке Способ регистрации аутентификатора выберите способ регистрации аутентификатора по QR-коду.
В User Console у пользователя в списке доступных аутентификаторов появится Indeed Key.
Пользователю нужно выполнить следующие действия:
- Нажать значок шестеренки.
- Нажать кнопку Зарегистрировать.
- Откройте приложение Indeed Key, нажмите значок +.
- Сканируйте появившийся QR-код.
Защита от спама
Осуществляется оценка процента успешных входов относительно всех отправленных сообщений за указанный интервал времени (оценка осуществляется только если количество отправленных сообщений превышает окно оценки).
При обнаружении атаки блокируется дальнейшая отправка сообщений, при попытке входа возникает ошибка Potential spam attack detected.
Отправка возобновится спустя некоторое время, когда будет превышен необходимый порог успешных входов за указанный интервал времени. Максимальное время блокировки равно временному интервалу оценки.
Чтобы настроить защиту от спама, выполните следующее:
- В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор Indeed Key.
- В секции Настройки защиты от спама выполните следующие настройки:
- включите или отключите защиту от спама;
- в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
- в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
- в поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.
События лог-сервера:
2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.
1118: Отправка сообщений пользователям возобновлена.
Настройка доверенного идентификатора для Indeed Key Server
По умолчанию при удалении аутентификатора в User Console, в утилите управления аутентификаторами или в консоли администратора аутентификатор будет удален из системы без уведомлений и продолжит отображаться в приложении.
Для настройки push-уведомления с информацией об удалении аутентификатора и удалением в приложении необходимо выполнить дополнительные настройки:
Откройте конфигурационный файл Indeed Key Server Web.config из папки C:\inetpub\wwwroot\airkeycloud.
Добавьте в файл следующие теги после блока
appSettings:ИнформацияВ параметре
idтегаaddукажите уникальный идентификатор, указанный в пункте Доверенный ID Indeed Key Server в Management Console.Пример<trustedClientsSettings>
<trustedClients>
<add id="уникальный идентификатор, заданный при конфигурировании Indeed Key Server" />
</trustedClients>
</trustedClientsSettings>После применения параметров пользователь будет получать уведомления об удалении ключа.
Настройка приложения Indeed Key на смартфоне
Установка сертификата УЦ
Установка сертификата УЦ необходима, только если для Indeed Key Server используется доменный сертификат. При использовании сертификата общедоступного УЦ выполнять настройку не требуется.
Экспортируйте корневой сертификат в формате cer/crt (формат pfx/p12 не распознается как корневой сертификат).
Отправьте сертификат на смартфон и установите его.
Пример запроса на установку сертификата на IOS-устройствах.
Пример запроса на установку сертификата на Android-устройствах. Для установки укажите произвольное название сертификата и в пункте Использование выберите VPN и приложения.
Добавьте сертификат в доверенные.
Для IOS-устройств откройте Настройки→Основные→Об этом устройстве→Доверие сертификатов. В группе Доверять корневым сертификатам полностью включите доверие к установленному сертификату.
Для Android-устройств откройте Настройки→Безопасность и блокировка экрана→Шифрование и учетные данные
Убедитесь что в радел Учетные данные пользователя успешно добавлен сертификат.
Убедитесь что в раздел Надежные сертификаты→ Пользователь успешно добавлен сертификат.
Установка приложения Indeed Key
Приложение Indeed Key доступно для смартфонов с iOS 13.0 и выше, Android 7.0 и выше.
Для того, чтобы скачать приложение, воспользуйтесь следующими ссылками:
- App Store — https://apps.apple.com/us/app/indeed-key/id1541323258
- Google Play — https://play.google.com/store/apps/details?id=com.indeedid.key
- Huawei AppGallery — https://appgallery.huawei.com/app/C106522471
Корректная работа приложения Indeed Key гарантируется, только если оно скачано из официальных магазинов приложений.
Для корректной работы push-уведомлений на Android-устройствах убедитесь, что выполнены следующие обязательные требования:
- Вы разрешили приложению отправку уведомлений;
- На устройствах с Android 9 и выше отключите режим энергосбережения.
Примечание: корректная работа push-уведомлений возможна не на всех модификациях Android.
Откройте приложение. В панели Аутентификаторы нажмите значок + для добавления аутентификатора.
Разрешите приложению доступ к камере и отсканируйте QR-код.
Подтвердите регистрацию аутентификатора, нажав кнопку Принять.
После успешной регистрации аутентификатор будет отображаться на главном окне программы.
Для удаления выберите необходимый аутентификатор и нажмите Удалить аутентификатор.
Настройка параметров аутентификации
Перед настройкой групповой политики необходимо добавить шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.
Политики распространяются на машины с установленными компонентами Indeed AM Windows Logon и Indeed AM ESSO Agent.
Таймаут операции для приложения Indeed Key
Политика определяет время ожидания операции для приложения Indeed Key.
Требовать команды от пользователя
Политика указывает ждать команды от пользователя для активации процедуры входа.
