Indeed AM MFA Provider
Провайдер Indeed AM MFA Provider позволяет задать последовательность провайдеров в цепочке многофакторной аутентификации.
MFA Provider может быть использован для аутентификации в следующих модулях:
Каждый идентификатор в параметре Цепочка многофакторной аутентификации обязательно указывайте в фигурных скобках и с новой строки.
{070719BA-EB57-4EA8-BB4D-D15A33E7363D}
Файлы для установки
Файлы для провайдера Indeed AM MFA Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM MFA Provider.
- Server\<Номер версии>\IndeedAM.AuthProviders.MFA-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed AM MFA Provider на 64-битных ОС;
- Server\<Номер версии>\IndeedAM.AuthProviders.MFA-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed AM MFA Provider на 86-битных ОС;
- Client\<Номер версии>\IndeedID.MFA.Provider.msi — пакет для установки Indeed AM MFA Provider на клиентские машины.
Файлы шаблонов политик расположены в каталоге indeed AM <номер версии>\Misc\ADMX Templates.
Установка провайдера
Выполните установку MFA Provider и провайдеров, которые будут использованы в цепочке, на сервере Indeed AM и на клиентской машине через запуск соответствующих пакетов из дистрибутива.
ВажноЕсли в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка параметров аутентификации
Перед настройкой групповой политики добавьте шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.
Политика должна распространяться на все серверы Indeed AM и на все клиентские машины.
Через GPO
Откройте политику Настройки цепочки многофакторной аутентификации. Политика расположена по следующему пути: Административные шаблоны→Indeed-ID→Id Providers→MFA.
Установите значение политики Включено.
В параметре Цепочка многофакторной аутентификации укажите идентификаторы провайдеров аутентификации, которые будут использоваться в цепочке.
Список поддерживаемых провайдеров:
- SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
- Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
- Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
- Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
- Z2 USB {CB5109DA-B575-422C-8805-524FE12B02F5}
- Futronic {A0EF00AD-1EEB-4D48-8BCF-06E19CD5585F}
- смарт-карта или USB-ключ {0AF65AD8-DB77-4B64-B489-958D9B36E28C}
- HID OMNIKEY {4B15AF52-A795-4CA6-B7CD-CDB8ABF2D2C2}
- Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
- Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556}
ВажноКаждый идентификатор указывайте в фигурных скобках и с новой строки без пробелов и других символов.
Пример цепочки Indeed AM Passcode + Indeed AM SMS OTP:
{F696F05D-5466-42b4-BF52-21BEE1CB9529}
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
ПримечаниеЗапрещённый для использования провайдер может быть использован в цепочке провайдера MFA.
В параметре Имя устройства указывается имя для созданной цепочки. Значение по умолчанию — MFA.
ИнформацияДанное значение будет отображаться в названии устройства MFA для пользователя и в событиях системы.
Через реестр
Откройте редактор реестра на сервере Indeed AM.
Откройте раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\MFA
.Создайте параметр
BSPChain
типаREG_MULTI_SZ
и укажите укажите идентификаторы провайдеров аутентификации, которые будут использоваться в цепочке. Каждый идентификатор указывайте в фигурных скобках и с новой строки без пробелов и других символов.Список поддерживаемых провайдеров:
- SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
- Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
- Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
- Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
- Z2 USB {CB5109DA-B575-422C-8805-524FE12B02F5}
- Futronic {A0EF00AD-1EEB-4D48-8BCF-06E19CD5585F}
- смарт-карта или USB-ключ {0AF65AD8-DB77-4B64-B489-958D9B36E28C}
- HID OMNIKEY {4B15AF52-A795-4CA6-B7CD-CDB8ABF2D2C2}
- Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
- Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556}
Создайте параметр
MFADeviceName
типаREG_SZ
и укажите имя для созданной цепочки.ИнформацияДанное значение будет отображаться в названии устройства MFA для пользователя и в событиях системы.
Поддержка политик для смарт-карт
Если в цепочке присутствуют такие провайдеры как Smart Card Provider, IronLogic Z2USB Provider, OMNIKEY Provider, поддерживаются политики Поведение при извлечении смарт-карты и Таймаут выполнения действия при извлечении смарт-карты.
Пример аутентификации
В примере используется компонент Indeed AM Windows Logon и цепочка провайдеров Indeed AM Passcode + Indeed AM SMS OTP.
Чтобы выполнить вход с помощью MFA Provider, выполните следующее:
Выберите провайдер аутентификации Многофакторная аутентификация.
Введите данные для первого провайдера в цепочке.
Введите данные для второго провайдера в цепочке и выполните вход.