Indeed Key Provider

Для аутентификации с помощью push-уведомлений есть следующие требования:

• В сетевой инфраструктуре: 

  • Установка сервера Indeed Key Server. Данный сервер выполняет отправку уведомлений на смартфон пользователя с помощью сервисов API Google. 
  • Установка провайдера аутентификации Indeed Key. Установка провайдера позволит использовать данную технологию аутентификации в целевых сценариях. 

• На стороне клиента: 

  • Установка приложения Indeed Key. Приложение необходимо для получения уведомлений об аутентификации в целевых приложениях с помощью компонентов Indeed Access Manager. 

Без установки Indeed Key Server, Indeed Key Provider и приложения Indeed Key аутентификация с помощью push-уведомлений невозможна.

Indeed Key Provider может быть использован для аутентификации в следующих модулях:

• Identity Provider,
• Windows Logon,
• Enterprise SSO,
• ADFS Extension,
• NPS Radius Extension (только в режиме отправки push-уведомлений с подтверждением входа),
• IIS Extension (только в режиме отправки push-уведомлений с подтверждением входа),
• RDP Windows Logon (только в режиме отправки push-уведомлений с подтверждением входа).

Идентификатор провайдера

{DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}

Файлы для установки

Файлы для Indeed AM Key Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM AirKey Provider.

• Server\<Номер версии>\IndeedAM.AuthProviders.IndeedKey-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed AM Key Provider на сервере Indeed AM на 64-битных ОС;
• Server\<Номер версии>\IndeedAM.AuthProviders.IndeedKey-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed AM Key Provider на сервере Indeed AM на 32-битных ОС;
• Client\<Номер версии>\IndeedID.IndeedKey.Provider.msi — пакет для установки Indeed AM Key Provider на клиентской машине.

Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates.

Установка провайдера Indeed Key

Выполните установку Key Provider на сервере Indeed AM и на клиентской машине через запуск соответствующего пакета для установки.

Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent выполните установку провайдера из папки Client на клиентские машины.

После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.

Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка провайдера Indeed Key в Management Console

Для настройки Indeed Key в Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор Indeed Key.

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

1. В секции Основные настройки выполните следующие настройки:
   • В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
2. В секции Доступные пользователю действия выполните следующие настройки:
   • В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы;
   • В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы;
   • В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы;
   • В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, в секции Настройки блокировки аутентификатора выполните следующие настройки:

1. Разрешите или заблокируйте использование Indeed Key в случае серии неудачных попыток аутентификации.
2. В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации.
3. В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик.
4. В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Настройки мобильного приложения

Чтобы настроить мобильное приложение Indeed Key, в секции Настройки мобильного приложения выполните следующие настройки:

1. В поле Отображаемое имя сервера укажите название сервера Indeed Key, которое будет отображаться в мобильном приложении.
2. В настройке Способ подтверждения Push выберите, как у пользователя будет запрашиваться подтверждение входа:
   • Подтверждение не требуется — у пользователя не будет запрашиваться дополнительная аутентификация на устройстве;
   • Подтверждение биометрическими средствами — у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью биометрии;
   • Подтверждение любыми средствами, доступными на устройстве — у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью любого доступного на устройстве метода;
3. В настройке Отображать одноразовый пароль в мобильном приложении для новых аутентификаторов укажите, будет ли отображаться одноразовый код в карточке аутентификатора в приложении. По умолчанию одноразовый код скрыт.
4. В настройке Способ подтверждения для отображения OTP выберите, как пользователь будет подтверждать право просматривать одноразовые коды:
   • Подтверждение не требуется — у пользователя не будет запрашиваться дополнительная аутентификация на устройстве;
   • Подтверждение биометрическими средствами — у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью биометрии;
   • Подтверждение любыми средствами, доступными на устройстве — у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью любого доступного на устройстве метода;
5. В поле Время отображения OTP укажите, в течение какого времени будет актуален одноразовый пароль. Значение указывается в секундах.
6. В настройке Режим работы Indeed Key выберите, какой способ подтверждения входа будет использоваться в приложении:
   • Push — пользователь будет получать push-уведомления с возможностью отклонить или подтвердить вход.
   • OTP — вместо push-уведомлений пользователь получит одноразовый код.

Серверные настройки

Чтобы настроить сервер, к которому обращается приложение Indeed Key, в секции Серверные настройки выполните следующие настройки:

1. В поле URL-адрес Indeed Key Server укажите адрес, по которому сервер Indeed Key доступен с машины Indeed AM;
2. В поле Доверенный ID Indeed Key Server укажите произвольный уникальный идентификатор. Этот идентификатор необходим для подтверждения удаления аутентификатора. Значение идентификатора должно совпадать со значением, указанным в конфигурационном файле Indeed Key Server (тег trustedClients).

Настройки одноразового пароля

Чтобы настроить генерацию одноразового пароля, в секции Настройки OTP выполните следующие настройки:

1. В поле Период обновления OTP укажите, на протяжение какого времени будет актуален одноразовый пароль;
2. В настройке Окно сравнения укажите, сколько периодов обновления должно пройти, пока одноразовый пароль не будет считаться недействительным;
3. В настройке Алгоритм генерации OTP-кода выберите, по какому алгоритму будет генерироваться одноразовый пароль;
4. В настройке Количество цифр в OTP-коде выберите, сколько цифр будет содержать одноразовый пароль.

Регистрация аутентификатора Indeed Key по ссылке

Для регистрации аутентификатора Indeed Key по ссылке из письма необходимы следующие условия:

• установленный и настроенный провайдер Email OTP,
• заполненный email пользователя в каталоге Active Directory.

Ссылка отправляется на электронный адрес, указанный для пользователя в каталоге Active Directory.

Чтобы зарегистрировать Indeed Key по ссылке, выполните следующие действия:

1. В разделе Конфигурация→Аутентификаторы, в секции Настройки регистрации выполните следующие настройки:

   а. В настройке Способ регистрации аутентификатора выберите способ регистрации по ссылке из электронного письма. б. Далее укажите следующее:

   • В поле Тема уведомления укажите заголовок письма для регистрации.
   • В поле Сообщение укажите тело письма.
   • В поле Текст ссылки укажите текст для ссылки, по которой перейдет пользователь для регистрации аутентификатора.
   • При необходимости укажите адрес сервера, участвующий в формировании ссылки. Если поле оставить пустым, используется ссылка по умолчанию в зависимости от локали Indeed AM.

2. Далее перейдите в раздел Пользователи, выберите пользователя, затем выберите вкладку Аутентификаторы.

3. Нажмите кнопку Зарегистрировать и выберите из списка Indeed Key.

После этого пользователю отправляется письмо со ссылкой на регистрацию аутентификатора. Как только письмо отправлено, в Management Console и User Console добавляется аутентификатор Indeed Key в статусе Ожидает. По ссылке пользователь перейдет в приложение Indeed Key, где начнется регистрация аутентификатора.

После того как пользователь успешно прошел регистрацию в приложении, администратор в Management Console должен нажать на значок обновления статуса и далее нажать Сохранить. Статус Ожидает поменяется на Действующий, а аутентификатор будет готов к использованию.

Если у пользователя возникли ошибки во время регистрации Indeed Key, то после обновления статуса в Management Console статус Ожидает поменяется на Ошибка. Удалите аутентификатор и снова пройдите процедуру регистрации.

Регистрация аутентификатора Indeed Key по QR-коду

Чтобы зарегистрировать Indeed Key по QR-коду, выполните следующее:

1. В разделе Доступные пользователю действия разрешите пользователю регистрировать новые аутентификаторы.
2. В настройке Способ регистрации аутентификатора выберите способ регистрации аутентификатора по QR-коду.

В User Console у пользователя в списке доступных аутентификаторов появится Indeed Key.

Пользователю нужно выполнить следующие действия:

1. Нажать значок шестеренки.
2. Нажать кнопку Зарегистрировать.
3. Откройте приложение Indeed Key, нажмите значок +.
4. Сканируйте появившийся QR-код.

Конфигурация ссылки на регистрацию и скачивание Indeed Key

Ссылку на регистрацию аутентификатора и скачивание приложения Indeed Key можно задать вручную.

1. Перейдите в раздел Конфигурация→Аутентификаторы в секцию Настройки регистрации.

2. В настройке Адрес сервера, участвующий в формировании ссылки на регистрацию аутентификатора (диплинк) укажите ссылку для регистрации, отправляемую по еmail.

   Доступны следующие ссылки для регистрации (в скобках указано местонахождение сервера):

   • https://indeedkey.drru.agconnect.link (Россия)
   • https://indeedkey.dre.agconnect.link (Германия)
   • https://indeedkey.drcn.agconnect.link (Китай)
   • https://indeedkey.dra.agconnect.link (Сингапур)

3. В секции Дополнительные настройки укажите ссылку для скачивания Indeed Key.

   Доступны следующие ссылки для скачивания (в скобках указано местонахождение сервера):

   • https://indeedkey.drru.agconnect.link/XwZr (Россия)
   • https://indeedkey.dre.agconnect.link/MJyW (Германия)
   • https://indeedkey.drcn.agconnect.link/NDbK (Китай)
   • https://indeedkey.dra.agconnect.link/i1RD (Сингапур)

Защита от спама

Механизм защиты от спама основан на расчете процента успешных аутентификаций относительно всех отправленных сообщений за указанный интервал времени. При этом расчет запускается, только если количество отправленных сообщений превышает количество, заданное вами в настройке Окно оценки.

При обнаружении спам-атаки дальнейшая отправка сообщений блокируется на заданный период времени, а при попытке входа возникает ошибка Potential spam attack detected.

Отправка сообщений возобновляется либо по истечении заданного периода, либо по достижении определенного количества (в процентном отношении) успешных аутентификаций.

Чтобы настроить защиту от спама, выполните следующее:

1. В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор.
2. В секции Настройки защиты от спама выполните следующие настройки:
   • включите или отключите защиту от спама;
   • в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
   • в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
   • в поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.

Пример

Настройка включена со следующими значениями:

• Окно оценки попыток аутентификации — 600
• Пороговое окно попыток аутентификации — 20
• Процент успешных попыток аутентификации — 85

Защита от спама включится, если произойдет 21 попытка входа (отправлено 21 сообщение). Произойдет блокировка аутентификатора на 600 секунд.

Аутентификатор разблокируется в одном из случаев:

• процент успешных входов (пользователь успешно ввел одноразовый пароль из сообщения) достигнет значения 85;
• прошло 600 секунд с момента блокировки.

Информация

События лог-сервера:

• 2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

• 1118: Отправка сообщений пользователям возобновлена.

Настройка доверенного идентификатора для Indeed Key Server

По умолчанию при удалении аутентификатора в User Console, в утилите управления аутентификаторами или в консоли администратора аутентификатор будет удален из системы без уведомлений и продолжит отображаться в приложении.

Для настройки push-уведомления с информацией об удалении аутентификатора и удалением в приложении необходимо выполнить дополнительные настройки:

1. Откройте конфигурационный файл Indeed Key Server Web.config из папки C:\inetpub\wwwroot\airkeycloud. 

2. Добавьте в файл следующие теги после блока appSettings: 

   Информация

   В параметре id тега add укажите уникальный идентификатор, указанный в пункте Доверенный ID Indeed Key Server в Management Console.

   Пример

   <trustedClientsSettings>
       <trustedClients>
         <add id="уникальный идентификатор, заданный при конфигурировании Indeed Key Server" />
       </trustedClients>
     </trustedClientsSettings>

3. После применения параметров пользователь будет получать уведомления об удалении ключа.

   

Настройка приложения Indeed Key на смартфоне

Приложение Indeed Key доступно для смартфонов с iOS 13.0 и выше, Android 7.0 и выше.

Корректная работа приложения Indeed Key гарантируется, только если оно скачано из официальных магазинов приложений. Для того чтобы скачать или обновить приложение, воспользуйтесь следующими ссылками:

• App Store — https://apps.apple.com/us/app/indeed-key/id1541323258
• Google Play — https://play.google.com/store/apps/details?id=com.indeedid.key
• Huawei AppGallery — https://appgallery.huawei.com/app/C106522471
• RuStore — https://apps.rustore.ru/app/com.indeedid.key

Важно!

Чтобы обновить приложение, скачивайте обновление в том же магазине, где вы устанавливали предыдущую версию.

Примечание для владельцев Android-устройств

Для корректной работы push-уведомлений на Android-устройствах убедитесь, что выполнены следующие обязательные требования:

• Вы разрешили приложению отправку уведомлений;
• На устройствах с Android 9 и выше отключите режим энергосбережения.

Примечание: корректная работа push-уведомлений возможна не на всех модификациях Android.

1. Откройте приложение. В панели Аутентификаторы нажмите значок + для добавления аутентификатора.

2. Разрешите приложению доступ к камере и отсканируйте QR-код. 

3. Подтвердите регистрацию аутентификатора, нажав кнопку Подтвердить.

4. После успешной регистрации аутентификатор будет отображаться на главном окне программы.

Для удаления выберите необходимый аутентификатор и нажмите Удалить аутентификатор.

Дополнительные настройки

Для машин с установленными компонентами Indeed AM Windows Logon и Indeed AM ESSO Agent выполните настройку параметров аутентификации с помощью групповых политик.