Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed AM SMS OTP Provider

Компонент Indeed AM SMS OTP Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям по СМС.

Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на СМС-шлюз, имеющийся в инфраструктуре клиента, после одноразовый код отправляется на номер телефона пользователя. Передача данных происходит по протоколу SMPP (Short Message Peer-to-Peer).

Примечание

Для использования Indeed AM SMS OTP Provider необходимо наличие СМС- шлюза. Данный шлюз должен быть доступен с каждого сервера Indeed AM, на котором предполагается установка SMS OTP Provider.

Для использования провайдера у пользователя должен быть задан номер телефона в атрибуте по умолчанию telephoneNumber или в другом настроенном атрибуте, иначе провайдер будет недоступен для использования. 

Обучение для аутентификатора не требуется.

Идентификатор провайдера

{EBB6F3FA-A400-45F4-853A-D517D89AC2A3}

Файлы для установки

Файлы для Indeed SMS OTP Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM SMS OTP Provider.

  • Server\<Номер версии>\IndeedAM.AuthProviders.SmsOTP-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed SMS OTP Provider на сервер Indeed AM на 64-битной ОС;
  • Server\<Номер версии>\IndeedAM.AuthProviders.SmsOTP-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed SMS OTP Provider на сервер Indeed AM на 32-битной ОС;
  • Client\<Номер версии>\IndeedID.SMSOTP.Provider.msi — пакет для установки Indeed SMS OTP Provider  на клиентские машины.

Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates*.

Установка провайдера

  1. Выполните установку SMS OTP Provider через запуск соответствующего пакета.
Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры. 

При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent необходимо выполнить установку провайдера из папки Client на клиентские машины.

  1. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.

  2. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка атрибута с номером телефона

Для смены атрибута по умолчанию добавьте следующие параметры в конфигурационный файл сервера C:\inetpub\wwwroot\am\core\Web.config

  • тег userMapRules в теге adUserCatalogProvider;
  • тег adObjectMapRule в теге userMapRules с следующими параметрами:
    • attribute="Phone" — указывает на изменяемый параметр;
    • adAttribute="mobile" — указывает, из какого атрибута Active Directory брать значение;
  • тег objectTypeSettings;
  • тег objectSetting с параметрами category="person" class="user".
Пример
<adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4">
                <userMapRules>
                        <adObjectMapRule attribute="Phone" adAttribute="mobile"/>
                    <objectTypeSettings>
                        <objectSetting category="person" class="user"></objectSetting>
                    </objectTypeSettings>
                </userMapRules>
        </adUserCatalogProvider>

Выбор типа подключения

Информация

Перед настройкой групповой политики добавьте шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.

Настройка через GPO

Политика применяется к серверам Indeed AM и предназначена для выбора Sender провайдера SMS OTP.

Не задан (Not Configured) или Отключен (Disabled) — будет использоваться подключение по SMPP.

Включен (Enabled) — будет использоваться подключение по заданному провайдеру.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.
  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP.
  3. Создайте параметр SmsSenderType с типом DWORD со следующими значениями: 
    • 0 — Smpp;
    • 1 — Megafon;
    • 2 — OneGate;
    • 3 — Kafka;
    • 4 — MFM Solutions;
    • 5 — SMS Прокси.
Настройки сервиса SMPP (Service Configurations SMPP)

Настройки сервиса SMPP (Service Configurations SMPP)

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет следующие настройки для сервиса SMPP:

  • Use tls — использование шифрования;

  • URL (IP-адрес) — адрес подключения к серверу;

  • Порт — порт подключения к серверу;

  • SystemId (Логин) — имя учетной записи для подключению к серверу;

  • Пароль — пароль учетной записи для подключения к серверу; 

  • SystemType — поле PDU операции BIND_TRANSCEIVER протокола SMPP;

  • Отправитель — имя отправителя, которое будет отображаться при получении СМС;

  • Дополнительный текст перед OTP — произвольный текст сообщения, предшествующий одноразовому паролю. По умолчанию отправляется только OTP, для дополнительной настройки параметров используйте следующие параметры:

    • <app> — имя приложения, отправившего запрос на авторизацию;

    • <requestLocalServerTime> — локальное серверное время получения запроса;

    • <requestComputerDns> — DNS-имя компьютера, отправившего запрос;

    • <requestComputerIp> — IP-адрес компьютера, отправившего запрос;

      Важно

      Отображение OTP-кода не настраивается, OTP всегда отображается в конце сообщения.

      Для переноса строк отправляемого сообщения необходимо внести изменения в реестр HKLM/SOFTWARE/Policies/Indeed-ID/BSPs/SMSOTP. Измените значение для старого параметра messageOTP c типом REG_SZ на messageOTP с типом REG_MULTI_SZ.

  • Время ожидания статуса SMS — время ожидания получения статуса отправленного СМС с сервера;

  • PDU со статусом SMS — PDU, в котором сервер присылает статус отправленного сообщения;

  • Подключаться как:

    • Transmitter — отправка пакета BIND_TRANSMITTER при подключении;

    • Transceiver — отправка пакета BIND_TRANSCEIVER при подключении;

      В случае подключения как Transmitter сервер присылает статус отправленного СМС-сообщения только в пакете SUBMIT_SM_RESP.

  • source_addr_ton — тип номера (Type of Number) для исходного адреса;

  • source_addr_npi — индикатор схемы присвоения номеров (Numbering Plan Indicator) для исходного адреса;

  • dest_addr_ton — тип номера (Type of Number) для адресата;

  • dest_addr_npi — индикатор схемы присвоения номеров (Numbering Plan Indicator) для адресата;

  • esm_class — указывает Message Mode&Message Type;

  • registered_delivery — индикатор для того, чтобы обозначить, что запрашивается расписка о получении СМС или подтверждение SME.

  • data_coding — определяет схему кодировки пользовательских данных короткого сообщения.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.
  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP.
  3. Создайте следующие параметры:
    • enableTls (DWORD) — использование шифрования (1 или 0);
    • srvAddr (строковый параметр) — адрес подключения к серверу;
    • srvPort (DWORD) — порт подключения к серверу;
    • srvSystemId (REG_SZ) — имя учетной записи для подключению к серверу;
    • srvPassword (REG_SZ) — пароль учетной записи для подключения к серверу;
    • srvSysType (REG_SZ) — поле PDU операции BIND_TRANSCEIVER протокола SMPP;
    • senderName (REG_SZ) — имя отправителя, которое будет отображаться при получении СМС;
    • messageOTP (REG_MULTI_SZ) — произвольный текст сообщения, предшествующий одноразовому паролю. По умолчанию отправляется только OTP, для дополнительной настройки параметров используйте следующие параметры:
      • <app> — имя приложения, отправившего запрос на авторизацию;
      • &lt;requestLocalServerTime&gt; — локальное серверное время получения запроса;
      • &lt;requestComputerDns&gt; — DNS-имя компьютера отправившего запрос;
      • &lt;requestComputerIp&gt; — IP-адрес компьютера отправившего запрос;
    • SMPPServerTimeoutSec (DWORD) — время ожидания получения статуса отправленного СМС с сервера;
    • MessageStatusPDU (DWORD) — PDU, в котором сервер присылает статус отправленного сообщения. 0 — SUBMIT_SM_RESP; 1 — DELIVER_SM.
    • BindTransmitter (DWORD). 1 — Transmitter — отправка пакета BIND_TRANSMITTER при подключении; 0 — Transceiver — отправка пакета BIND_TRANSCEIVER при подключении. В случае подключения как Transmitter сервер присылает статус отправленного СМС-сообщения только в пакете SUBMIT_SM_RESP;
    • sourceAddrTon (DWORD) — тип номера (Type of Number) для исходного адреса;
    • sourceAddrNpi (DWORD) — индикатор схемы присвоения номеров (Numbering Plan Indicator) для исходного адреса;
    • destAddrTon (DWORD) — тип номера (Type of Number) для адресата;
    • destAddrNpi (DWORD) — индикатор схемы присвоения номеров (Numbering Plan Indicator) для адресата;
    • esmClass — указывает Message Mode & Message Type;
    • registeredDelivery — индикатор для того, чтобы обозначить, что запрашивается расписка о получении СМС или подтверждение SME;
    • dataCoding — определяет схему кодировки пользовательских данных короткого сообщения.
Настройки резервного сервиса SMPP

Настройки резервного сервиса SMPP

В политике Настройка сервиса SMPP (резервный) вы можете настроить резервный сервис SMPP, через который будут отправляться СМС, если основной сервис недоступен.

При отправке СМС Сore Server проверяет доступность основного сервиса SMPP. Если основной сервис доступен, СМС отправляется через основной шлюз. Если основной сервис недоступен, СМС отправляется через резервный шлюз.

Сервис считается недоступным, если Сore Server получает следующие ошибки:

  • SMS sending service address unavailable,
  • SMPP Error Bind,
  • SMPP Error SubmitS.

Политика резервного сервиса SMPP настраивается аналогично основного сервиса SMPP.

При наличии настроенного резервного сервиса переход к нему при недоступности основного сервиса происходит автоматически.

Настройки сервиса Megafon (Service Configurations Megafon)

Настройки сервиса Megafon (Service Configurations Megafon)

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет настройки для Megafon — сервиса отправки СМС:

  • URL — адрес подключения к серверу;
  • Логин — имя учетной записи для подключения к серверу;
  • Пароль — пароль учетной записи для подключения к серверу;
  • Отправитель— имя отправителя, которое будет отображаться при получении СМС;
  • Дополнительный текст перед OTP — произвольный текст сообщения, предшествующий одноразовому паролю.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.
  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\Megafon.
  3. Создайте следующие параметры:
    • ServerUrl (REG_SZ) — адрес подключения к серверу;
    • Login (REG_SZ) — имя учетной записи для подключения к серверу;
    • Password (REG_SZ) — пароль учетной записи для подключения к серверу;
    • From (REG_SZ) — имя отправителя, которое будет отображаться при получении СМС;
    • messageOTP (REG_SZ) — произвольный текст сообщения, предшествующий одноразовому паролю.
Настройки сервиса OneGate (Service Configurations OneGate)

Настройки сервиса OneGate (Service Configurations OneGate)

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет настройки для OneGate — сервиса отправки СМС:

  • URL — адрес подключения к серверу;
  • Логин имя учетной записи для подключения к серверу;
  • Пароль пароль учетной записи для подключения к серверу;        
  • Имя отправителя — отображается как имя отправителя в устройстве получателя;
  • Имя системы отправителя — сочетание Имя системы отправителя и Имя отправителя определяет логин, под которым обращаемся в сепаратор;
  • Дополнительный текст перед OTP — произвольный текст сообщения, предшествующий одноразовому паролю.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.
  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\OneGate.
  3. Создайте следующие параметры:
    • ServerUrl (REG_SZ) — адрес подключения к серверу;
    • Login (REG_SZ) — имя учетной записи для подключения к серверу;
    • Password (REG_SZ) — пароль учетной записи для подключения к серверу;
    • NameSender (REG_SZ) — отображается как имя отправителя в устройстве получателя;
    • NameSystem (REG_SZ) — сочетание Имя системы отправителя и Имя отправителя определяет логин, под которым обращаемся в сепаратор;
    • messageOTP (REG_SZ) — произвольный текст сообщения, предшествующий одноразовому паролю.
Настройки сервиса MFMSolution (Service Configurations MFMSolution)

Настройки сервиса MFMSolution (Service Configurations MFMSolution)

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет настройки для MFMSolution — сервиса отправки СМС:

  • URL — адрес подключения к серверу;
  • Логин — имя учетной записи для подключения к серверу;
  • Пароль — пароль учетной записи для подключения к серверу;        
  • Имя отправителя — отображается как имя отправителя в устройстве получателя;
  • Дополнительный текст перед OTP — произвольный текст сообщения, предшествующий одноразовому паролю.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.
  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\MFM.
  3. Создайте следующие параметры:
    • ServerUrl (REG_SZ) — адрес подключения к серверу;
    • Login (REG_SZ) — имя учетной записи для подключения к серверу;
    • Password (REG_SZ) — пароль учетной записи для подключения к серверу;
    • From (REG_SZ) — отображается как имя отправителя в устройстве получателя;
    • MessageOTP (REG_SZ) — произвольный текст сообщения, предшествующий одноразовому паролю.
Настройки сервиса Apache Kafka

Настройки сервиса Apache Kafka

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет настройки для Apache Kafka — сервиса отправки СМС:

  • URL — адрес подключения к серверу;
  • Таймаут сервера — время ожидания локального сообщения. Это значение применяется только локально и ограничивает время, в течение которого создаваемое сообщение ожидает успешную доставку. Если вы укажете значение 0 сек, то время ожидания будет бесконечным;
  • Включить сериализацию сообщения — флаг включает или отключает сериализацию сообщения;
  • Schema registry URL — адрес подключения к Schema Registry;
  • Путь к схеме сериализации — путь к файлу json со схемой сериализации;
  • Протокол безопасности — протокол, используемый для связи с брокерами;
  • SASL механизм — механизм SASL для аутентификации;
  • Имя темы — имя темы, в которую будут публиковаться сообщения;
  • Формат даты сообщения — формат даты в полях сообщения;
  • Дополнительный текст перед OTP — произвольный текст сообщения, предшествующий одноразовому паролю;
  • Путь к формату сообщения — путь к файлу json с форматом сообщения.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP.

  3. Создайте следующие параметры:

    • SmsSenderType (DWORD) — тип отправителя СМС (для Apache Kafka установите значение 3);
    • ParsePhone (DWORD) — включение парсинга телефонного номера;
    • PhonePrefix (REG_SZ) — префикс номера телефона (если вы включили парсинг телефонного номера);
    • PhoneLength (DWORD) — длина номера телефона (если вы включили парсинг телефонного номера);

  4. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\Kafka создайте следующие параметры:

    • messageOTP (REG_SZ) — произвольный текст сообщения, предшествующий одноразовому паролю;
    • MessageFormatPath (REG_SZ) — путь к файлу json с форматом сообщения;
    • MessageDateFormat (REG_SZ) — формат даты в полях сообщения;
    • ServerUrl (REG_SZ) — адрес сервера Apache Kafka;
    • MessageTimeoutSec (REG_DWORD) — время ожидания локального сообщения. Это значение применяется только локально и ограничивает время, в течение которого создаваемое сообщение ожидает успешную доставку. Если вы укажете значение 0 сек, то время ожидания будет бесконечным;
    • TopicName (REG_SZ) — имя темы Apache Kafka, в которую будут публиковаться сообщения;
    • UseSerialization (REG_SDWORD) — включение или отключение сериализации;
    • SchemaRegistryUrl — адрес подключения к Schema registry;
    • RecordSchemaPath (REG_SZ) — путь к файлу json со схемой сериализации;

    Если вы используете авторизацию в Apache Kafka, добавьте следующие параметры;

    • SecurityProtocol (REG_SZ) — протокол, используемый для связи с брокерами;
    • SaslMechanism (REG_SZ) — механизм SASL для аутентификации;

Настройка формата сообщения

Настройка через GPO

Политика позволяет задать настройки формата отображения даты. Примеры форматов можно посмотреть в статье Microsoft.

Включен (Enabled) — дата будет отображаться согласно заданной в политике формата.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.
  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP.
  3. Создайте следующие параметры:
    • SMSOTP (DWORD) со значением 1;
    • dateFormat (REG_SZ) — позволяет задать настройки формата отображения даты. Примеры форматов можно посмотреть в статье Microsoft.

Настройка одноразового пароля

Настройка через GPO

Политика применяется к серверам Indeed AM и позволяет задать длину и вхождение групп символов при генерации одноразового пароля.

  • Не задано (Not Configured) — одноразовый пароль будет состоять из цифр, строчных латинских букв и иметь длину в 6 символов.
  • Включено (Enabled) — одноразовый пароль будет генерироваться согласно заданным в политике правилам. Длина пароля должна быть не менее 4 и не более 24 символов.
  • Отключено (Disabled) — одноразовый пароль будет состоять из цифр, строчных латинских букв и иметь длину в 6 символов.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.
  2. Откройте раздел HKEY\LOCAL\MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP.
  3. Создайте следующие параметры:
    • OTPGeerator (DWORD) — включает данную настройку;
    • OneTimePasswordLength (DWORD) — длина одноразового пароля;
    • AllowDigitsChGr (DWORD) — использовать цифры в OTP;
    • AllowLatinsLowerChGr (DWORD) — использовать строчные латинские буквы в OTP;
    • AllowLatinsUpperChGr (DWORD) — использовать прописные латинские буквы в OTP;
    • AllowSpecialChGr (DWORD) — использовать специальные символы в OTP.

Настройка формата телефонного номера

Настройка через GPO

Политика применяется к серверам Indeed AM и позволяет настраивать формат телефонного номера. При включении данной политики включается нормализация телефонного номера. Это означает следующее:

  • пробелы, табуляция, скобочки, дефисы будут удаляться;
  • если в строке записаны несколько номеров и разделены запятой или точкой с запятой, будет браться первый номер в строке до разделителя;
  • 8 будет заменяться на +7;
  • если в номере не хватает +7 или 8 в начале строки, то будет добавляться +7 перед номером;
  • в номерах могут быть символы O вместо цифры 0, они будут заменяться обратно на цифры.
Примечание

Megafon по требованию формата REST запроса номер телефона должен иметь тип long. При нормализации + не учитывается.

Настройка через реестр

  1. Откройте редактор реестра на сервере Indeed AM.
  2. Откройте раздел HKEY\LOCAL\MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP.
  3. Создайте следующие параметры:
    • ParsePhone (DWORD) — включает парсинг телефонного номера;
    • PhoneLength (DWORD) — размер телефонного номера;
    • PhonePrefix (DWORD) — префикс телефонного номера.

Настройка одновременного подключения к серверу SMPP

Политика применяется к серверам Indeed AM и определяет порядок обработки запросов к серверу SMPP. Включение политики может быть необходимо, в случае если сервер SMPP не поддерживает несколько подключений от одного пользователя (учетной записи, указанной в политике Настройка сервиса SMPP) одновременно.

Не задан (Not Configured) или Отключен (Disabled) — подключение к серверу SMPP и запросы на отправку сообщений будут происходить параллельно.

Включен (Enabled) — подключение к серверу SMPP и запросы на отправку сообщений будут происходить последовательно.

Защита от спама

Осуществляется оценка процента успешных входов относительно всех отправленных сообщений за указанный интервал времени (оценка осуществляется только если количество отправленных сообщений превышает окно оценки).

При обнаружении атаки блокируется дальнейшая отправка сообщений, при попытке входа возникает ошибка Potential spam attack detected.

Отправка возобновится спустя некоторое время, когда будет превышен необходимый порог успешных входов за указанный интервал времени. Максимальное время блокировки равно временному интервалу оценки.

Чтобы настроить защиту от спама, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор Indeed Key.
  2. В секции Настройки защиты от спама выполните следующие настройки:
    • включите или отключите защиту от спама;
    • в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
    • в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
    • в поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.
Информация

События лог-сервера:

  • 2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

  • 1118: Отправка сообщений пользователям возобновлена.