Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed AM MFA Provider

Провайдер Indeed AM MFA Provider позволяет задать последовательность провайдеров в цепочке многофакторной аутентификации.

MFA Provider может быть использован для аутентификации в следующих модулях:

Важно

Каждый идентификатор в параметре Цепочка многофакторной аутентификации обязательно указывайте в фигурных скобках и с новой строки.

Идентификатор провайдера

{070719BA-EB57-4EA8-BB4D-D15A33E7363D}

Файлы для установки

Файлы для провайдера Indeed AM MFA Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM MFA Provider.

  • Server\<Номер версии>\IndeedAM.AuthProviders.MFA-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed AM MFA Provider на 64-битных ОС;
  • Server\<Номер версии>\IndeedAM.AuthProviders.MFA-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed AM MFA Provider на 86-битных ОС;
  • Client\<Номер версии>\IndeedID.MFA.Provider.msi — пакет для установки Indeed AM MFA Provider на клиентские машины.

Файлы шаблонов политик расположены в каталоге indeed AM <номер версии>\Misc\ADMX Templates.

Установка провайдера

  1. Выполните установку MFA Provider и провайдеров, которые будут использованы в цепочке, на сервере Indeed AM и на клиентской машине через запуск соответствующих пакетов из дистрибутива.

    Важно

    Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры. 

  2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.

  3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка параметров аутентификации

Перед настройкой групповой политики добавьте шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.

Предупреждение

Политика должна распространяться на все серверы Indeed AM и на все клиентские машины.

Через GPO

  1. Откройте политику Настройки цепочки многофакторной аутентификации. Политика расположена по следующему пути: Административные шаблоны→Indeed-ID→Id Providers→MFA.

  2. Установите значение политики Включено

  3. В параметре Цепочка многофакторной аутентификации укажите идентификаторы провайдеров аутентификации, которые будут использоваться в цепочке.

    Список поддерживаемых провайдеров:

    • SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
    • Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
    • Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
    • Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
    • Z2 USB {CB5109DA-B575-422C-8805-524FE12B02F5}
    • Futronic {A0EF00AD-1EEB-4D48-8BCF-06E19CD5585F}
    • смарт-карта или USB-ключ {0AF65AD8-DB77-4B64-B489-958D9B36E28C}
    • HID OMNIKEY {4B15AF52-A795-4CA6-B7CD-CDB8ABF2D2C2}
    • Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
    • Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556}
    Важно

    Каждый идентификатор указывайте в фигурных скобках и с новой строки без пробелов и других символов.

    Пример цепочки Indeed AM Passcode + Indeed AM SMS OTP:

    {F696F05D-5466-42b4-BF52-21BEE1CB9529}

    {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}

    Примечание

    Запрещённый для использования провайдер может быть использован в цепочке провайдера MFA.

  4. В параметре Имя устройства указывается имя для созданной цепочки. Значение по умолчанию — MFA.

    Информация

    Данное значение будет отображаться в названии устройства MFA для пользователя и в событиях системы. 

Через реестр

  1. Откройте редактор реестра на сервере Indeed AM.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\MFA.

  3. Создайте параметр BSPChain типа REG_MULTI_SZ и укажите укажите идентификаторы провайдеров аутентификации, которые будут использоваться в цепочке. Каждый идентификатор указывайте в фигурных скобках и с новой строки без пробелов и других символов.

    Список поддерживаемых провайдеров:

    • SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
    • Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
    • Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
    • Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
    • Z2 USB {CB5109DA-B575-422C-8805-524FE12B02F5}
    • Futronic {A0EF00AD-1EEB-4D48-8BCF-06E19CD5585F}
    • смарт-карта или USB-ключ {0AF65AD8-DB77-4B64-B489-958D9B36E28C}
    • HID OMNIKEY {4B15AF52-A795-4CA6-B7CD-CDB8ABF2D2C2}
    • Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
    • Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556}

  4. Создайте параметр MFADeviceName типа REG_SZ и укажите имя для созданной цепочки.

    Информация

    Данное значение будет отображаться в названии устройства MFA для пользователя и в событиях системы. 

Поддержка политик для смарт-карт

Если в цепочке присутствуют такие провайдеры как Smart Card Provider, IronLogic Z2USB Provider, OMNIKEY Provider, поддерживаются политики Поведение при извлечении смарт-карты и Таймаут выполнения действия при извлечении смарт-карты.

Пример аутентификации

В примере используется компонент Indeed AM Windows Logon и цепочка провайдеров Indeed AM Passcode + Indeed AM SMS OTP.

Чтобы выполнить вход с помощью MFA Provider, выполните следующее:

  1. Выберите провайдер аутентификации Многофакторная аутентификация.

  2. Введите данные для первого провайдера в цепочке. 

  3. Введите данные для второго провайдера в цепочке и выполните вход.