Indeed AM Smart Card Provider
Компонент Indeed AM Smart Card Provider предназначен для аутентификации пользователей по персональным устройствам (смарт-картам, USB-ключам).
Этот способ аутентификации поддерживается в следующих модулях:
Поддерживаются следующие устройства:
Устройства Рутокен
- Рутокен S,
- Рутокен ЭЦП,
- Рутокен ЭЦП 2.0,
- Рутокен Lite.
Устройства eToken
- eToken Pro 32k,
- eToken Pro 64k,
- eToken Pro Java 72k.
Устройства ESMART
- Token 64k,
- Token SC 64k,
- Token USB 64k.
Устройства Avest
- Avest Key 256A.
Устройства SafeNet
- iKey 1000,
- iKey 1032.
Устройства JaCarta
- JaCarta PKI.
Устройства Gemalto
- IDPrime MD.
Возможны варианты использования одного и того же устройства аутентификации как с запросом PIN-кода, так и без него:
- компонент Indeed AM Smart Card Provider позволяет пользователю пройти аутентификацию с помощью карты, PIN-код запрашиваться не будет;
- компонент Indeed AM Smart Card Provider + PIN требует ввод PIN-кода при каждой аутентификации пользователя.
Indeed AM Smart Card Provider with PIN не позволяет задавать, изменять или удалять PIN-коды устройств аутентификации. Для изменения или удаления PIN-кодов используйте специализированное программное обеспечение от производителей устройств аутентификации.
Smartcard {0AF65AD8-DB77-4B64-B489-958D9B36E28C}
Smartcard + PIN {42456525-8EC1-4AB1-97B8-45AF8635D10F}
Файлы для установки
Файлы для Indeed AM SmartCard Provider расположены в папке indeed AM <номер версии>/Indeed AM Providers/Indeed AM SmartCard Provider/<номер версии>.
- IndeedID.Smartcard.Provider.msi — пакет для установки Indeed AM Smart Card Provider;
- IndeedID.Smartcard.PIN.Provider.msi — пакет для установки Indeed AM Smart Card Provider + PIN.
Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates.
Для работы провайдера требуется установка Indeed AM Bsp Broker на сервере Indeed AM.
Файлы для Indeed AM Bsp Broker расположены в папке indeed AM <номер версии>/Indeed Providers/Indeed AM Bsp Broker/<Номер версии>.
- IndeedAM.AuthProviders.BspBroker-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed Bsp Broker на 64-битных ОС.
- IndeedAM.AuthProviders.BspBroker-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed Bsp Broker на 32-битных ОС.
Установка провайдера
Выполните установку провайдера Indeed AM Smart Card Provider на сервере Indeed AM и на клиентской машине через запуск соответствующего пакета из дистрибутива.
ВажноЕсли в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка политик
Перед настройкой групповой политики добавьте шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.
Поведение при извлечении смарт-карты
Smart Card Provider поддерживает политику безопасности Windows Интерактивный вход в систему: поведение при извлечении смарт-карты.
С помощью этой политики вы можете определить действие, которое будет выполняться при извлечении смарт-карты с рабочей станции пользователя.
Таймаут выполнения действия при извлечении смарт-карты
Политика раздела Windows Logon определяет продолжительность стандартного и сервисного таймаута после извлечения устройства аутентификации.
Политика задает интервал времени в секундах между извлечением смарт-карты и действием, выполняемым согласно политики Windows Интерактивный вход: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior).
Административный файл шаблона политики IndeedID.Client.admx входит в состав дистрибутива и расположен в каталоге Misc.
Наличие стандартного таймаута предотвращает автоматическую блокировку компьютера при случайном извлечении устройства аутентификации.
Наличие сервисного таймаута предотвращает автоматическую блокировку
компьютера в случаях, когда извлечение используемого устройства
аутентификации необходимо (зарегистрировать дополнительный
аутентификатор, получить доступ в операционную систему или приложение
под другой учетной записью и аутентификатором). Для активации сервисного
таймаута перед извлечением устройства нажмите и удерживайте комбинацию
клавиш [Ctrl]+[L].
Если политика не задана или отключена, то таймаут перед автоматической блокировкой рабочей станции не предоставляется.
Использование дополнительных данных
Политика позволяет настроить режим повышенной безопасности с возможностью записи дополнительных данных на устройство и чтения этих данных. Режим использования дополнительных данных предотвращает повторную инициализацию устройства и последующее несанкционированное использование аутентификатора от имени учетной записи настоящего владельца.
Административный файл шаблона политики IndeedID.Smartcard.Provider.admx входит в состав дистрибутива и расположен в каталоге Misc.
Дополнительные данные – это последовательность из 64 случайных байт, которая записывается на смарт-карту (usb-ключ) и включается в состав аутентификатора вместе с серийным номером средства аутентификации. Дополнительные данные считываются с устройства и проходят проверку одновременно с серийным номером при аутентификации пользователя.
Режим использования дополнительных данных включен, если настройка политики установлена в значение Включен (Enabled) или Не задан (Not Configured). Разрешить работу без дополнительных данных – разрешение работы провайдера без использования дополнительных данных (при включенной политике).
Опция может использоваться для работы с устройствами, зарегистрированными в старых версиях Indeed AM Smart Card Provider (без поддержки дополнительных данных).
Ожидание смарт-карты после входа в терминальную сессии
Политика позволяет задать время в секундах, в течение которого будет происходить ожидание смарт-карты после входа в терминальную сессию в случае некорректной работы PKCS смарт-карты.
Пример аутентификации
При первом входе в систему или приложение с использованием технологии аутентификации Indeed AM необходимо выбрать способ входа.
Для этого нажмите Сменить способ входа окне Вход в Windows (окно Аутентификация для Enterprise SSO). Выберите способ входа Смарт-карта или USB-ключ или Смарт-карта или USB-ключ + PIN.
Подключите USB-ключ или смарт-карту к компьютеру. Если используется способ входа Indeed AM Smart Card Provider + PIN, введите PIN-код и нажмите кнопку Вход.
После обработки данных с карты будет выполнена аутентификация. В случае успешного входа по аутентификатору способ входа Смарт-карта или USB-ключ (Смарт-карта или USB-ключ + PIN) запоминается как предпочтительный и будет автоматически предложен пользователю при следующем входе в систему или приложение.