Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed AM Secured TOTP Provider

Indeed AM Secured TOTP — это провадер с привязкой к идентификатору устройства пользователя.

Секретный ключ для генерации одноразового кода зашифрован и расшифровывается только ключом на основе идентификатора устройства. Таким образом, регистрация конкретного аутентификатора возможна лишь на одном устройстве.

Secured TOTP может быть использован для аутентификации в следующих модулях:

Предварительные требования

Для работы провайдера необходимы следующие условия:

  • установлен провайдер Secured TOTP,
  • установлено мобильное приложение Indeed Key версии 2.6 и выше,
  • для регистрации Secured TOTP по ссылке из письма необходимы:
    • установленный и настроенный провайдер Email OTP,
    • заполненный email пользователя в каталоге Active Directory.
Идентификаторы провайдера для интеграции с модулем NPS Radius Extension

{F15FD7EC-19EA-4384-846E-A2D0BE149FA2} — Secured TOTP

{882C1787-FD32-44A2-BA89-F1F529FBE7AB} — Passcode + Secured TOTP

{7F3DE86F-59D1-4476-AA5D-F277E5DD5938} — Windows Password + Secured TOTP

Установка провайдера

Выполните установку Indeed AM Secured TOTP через запуск пакета IndeedAM.AuthProviders.SecuredTOTP-<номер версии>.<разрядность>.ru-ru.msi из папки indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Secured TOTP Provider\<Номер версии>.

Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.

Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Secured TOTP.
  2. В секции Основные настройки выполните следующие настройки:
    • В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
  3. В секции Доступные пользователю действия выполните следующие настройки:
    • В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы.
    • В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы.
    • В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы.
    • В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Secured TOTP.
  2. В секции Настройки блокировки аутентификатора выполните следующие настройки:
    • Разрешите или заблокируйте использование Secured TOTP в случае серии неудачных попыток аутентификации;
    • В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации;
    • В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик;
    • В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Настройки одноразового пароля

Настройки применяются к серверам Indeed AM и позволяет задать длину и вхождение групп символов при генерации одноразового пароля.

Чтобы настроить генерацию одноразового пароля, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Secured TOTP.
  2. В секции Настройки генерации одноразового пароля выполните следующие настройки:
    • В поле Длина одноразового пароля укажите, сколько символов будет содержать одноразовый пароль;
    • В настройке Цифры укажите, будет ли одноразовый пароль содержать цифры;
    • В настройке Строчные латинские буквы укажите, будет ли одноразовый пароль содержать строчные латинские буквы;
    • В настройке Прописные латинские буквы укажите, будет ли одноразовый пароль содержать прописные латинские буквы;
    • В настройке Специальные символы укажите, будет ли одноразовый пароль содержать специальные символы.

Регистрация в Management Console

Secured TOTP можно зарегистрировать по ссылке из письма или по QR-коду. В Management Console доступны оба способа регистрации.

Для регистрации по ссылке из письма необходимы следующие условия:

  • установленный и настроенный провайдер Email OTP,
  • установлено мобильное приложение Indeed Key версии 2.6 и выше,
  • заполненный email пользователя в каталоге Active Directory.

Ссылка отправляется на электронный адрес, указанный для пользователя в каталоге Active Directory. Опционально вы можете продублировать ссылку на другой электронный адрес, например руководителю сотрудника.

Чтобы зарегистрировать аутентификатор по email, выполните следующее:

  1. В Management Console в настройке Способ регистрации аутентификатора в Management Console выберите способ регистрации аутентификатора по email.
  2. Укажите текст темы электронного письма.
  3. Укажите текст сообщения электронного письма. Ссылка на регистрацию указывается специальным тегом <regLink>.
  4. Укажите текст ссылки, чтобы заменить написание в явном виде.
  5. Далее перейдите в раздел Пользователи, выберите пользователя, выберите вкладку Аутентификаторы.
  6. Нажмите кнопку Зарегистрировать и выберите из списка Secured TOTP.
  7. В открывшемся окне введите идентификатор устройства пользователя. Его можно получить в настройках приложения Indeed Key и скопировать или отправить кнопкой Поделиться. Опционально на этом шаге вы можете указать дополнительные электронные адреса через запятую.
  8. Нажмите кнопку Далее. После этого пользователю придет письмо со ссылкой на регистрацию аутентификатора. По ссылке пользователь перейдет в приложение Indeed Key, где начнется регистрация аутентификатора.
  9. В Management Console нажмите кнопку Сохранить.

Регистрация в User Console

Пользователь может зарегистрировать новый аутентификатор в User Console, если администратор разрешил пользователю регистрировать новые аутентификаторы в настройках Secured TOTP в Management Console.

На устройстве пользователя должно быть установлено приложение Indeed Key 2.6 и выше.

Чтобы зарегистрировать аутентификатор по QR-коду, выполните следующее:

  1. В Management Console в разделе Доступные пользователю действия разрешите пользователю регистрировать новые аутентификаторы Secured TOTP.
  2. В настройке Способ регистрации аутентификатора в User Console выберите способ регистрации аутентификатора по QR-коду.
  3. В User Console у пользователя в списке доступных аутентификаторов появится Secured TOTP.

Пользователю нужно выполнить следующие действия:

  1. Нажать значок шестеренки.
  2. Нажать кнопку Зарегистрировать.
  3. Сканировать появившийся код устройством с открытым приложением Indeed Key.