Indeed AM SMS OTP Provider
Компонент Indeed AM SMS OTP Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям по СМС.
Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на СМС-шлюз, имеющийся в инфраструктуре клиента, после одноразовый код отправляется на номер телефона пользователя. Передача данных происходит по протоколу SMPP (Short Message Peer-to-Peer).
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
Предварительные требования
Для использования Indeed AM SMS OTP Provider необходимо наличие СМС- шлюза. Данный шлюз должен быть доступен с каждого сервера Indeed AM, на котором предполагается установка SMS OTP Provider.
Для использования провайдера у пользователя должен быть задан номер
телефона в атрибуте по умолчанию telephoneNumber
или в другом
настроенном атрибуте, иначе провайдер будет недоступен для
использования.
Регистрация аутентификатора в User Console не требуется.
Файлы для установки
Файлы для Indeed SMS OTP Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM SMS OTP Provider.
- Server\<Номер версии>\IndeedAM.AuthProviders.SmsOTP-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed SMS OTP Provider на сервер Indeed AM на 64-битной ОС;
- Server\<Номер версии>\IndeedAM.AuthProviders.SmsOTP-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed SMS OTP Provider на сервер Indeed AM на 32-битной ОС;
- Client\<Номер версии>\IndeedID.SMSOTP.Provider.msi — пакет для установки Indeed SMS OTP Provider на клиентские машины.
Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates*.
Установка провайдера
- Выполните установку SMS OTP Provider через запуск соответствующего пакета.
Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent необходимо выполнить установку провайдера из папки Client на клиентские машины.
После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка атрибута с номером телефона
Для смены атрибута по умолчанию добавьте следующие параметры в конфигурационный файл сервера C:\inetpub\wwwroot\am\core\Web.config:
- тег
userMapRules
в тегеadUserCatalogProvider
; - тег
adObjectMapRule
в тегеuserMapRules
с следующими параметрами:attribute="Phone"
— указывает на изменяемый параметр;adAttribute="mobile"
— указывает, из какого атрибута Active Directory брать значение;
- тег
objectTypeSettings
; - тег
objectSetting
с параметрамиcategory="person" class="user"
.
<adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4">
<userMapRules>
<adObjectMapRule attribute="Phone" adAttribute="mobile"/>
<objectTypeSettings>
<objectSetting category="person" class="user"></objectSetting>
</objectTypeSettings>
</userMapRules>
</adUserCatalogProvider>
Защита от спама
Механизм защиты от спама основан на расчете процента успешных аутентификаций относительно всех отправленных сообщений за указанный интервал времени. При этом расчет запускается, только если количество отправленных сообщений превышает количество, заданное вами в настройке Окно оценки.
При обнаружении спам-атаки дальнейшая отправка сообщений блокируется на заданный период времени, а при попытке входа возникает ошибка Potential spam attack detected.
Отправка сообщений возобновляется либо по истечении заданного периода, либо по достижении определенного количества (в процентном отношении) успешных аутентификаций.
Чтобы настроить защиту от спама, выполните следующее:
- В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор.
- В секции Настройки защиты от спама выполните следующие настройки:
- включите или отключите защиту от спама;
- в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
- в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
- в поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.
Пример
- Окно оценки попыток аутентификации — 600
- Пороговое окно попыток аутентификации — 20
- Процент успешных попыток аутентификации — 85
Защита от спама включится, если произойдет 21 попытка входа (отправлено 21 сообщение). Произойдет блокировка аутентификатора на 600 секунд.
Аутентификатор разблокируется в одном из случаев:
- процент успешных входов (пользователь успешно ввел одноразовый пароль из сообщения) достигнет значения 85;
- прошло 600 секунд с момента блокировки.
События лог-сервера:
2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.
1118: Отправка сообщений пользователям возобновлена.
Чтобы выбрать и настроить тип подключения, выполнить настройки формата сообщения и телефонного номера, а также настройки одноразового пароля, перейдите в раздел с настройками групповых политик.