Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed AM SMS OTP Provider

Компонент Indeed AM SMS OTP Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям по СМС.

Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на СМС-шлюз, имеющийся в инфраструктуре клиента, после одноразовый код отправляется на номер телефона пользователя. Передача данных происходит по протоколу SMPP (Short Message Peer-to-Peer).

Идентификатор провайдера
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3}

Предварительные требования

Для использования Indeed AM SMS OTP Provider необходимо наличие СМС- шлюза. Данный шлюз должен быть доступен с каждого сервера Indeed AM, на котором предполагается установка SMS OTP Provider.

Для использования провайдера у пользователя должен быть задан номер телефона в атрибуте по умолчанию telephoneNumber или в другом настроенном атрибуте, иначе провайдер будет недоступен для использования. 

Регистрация аутентификатора в User Console не требуется.

Установка провайдера

  1. Запустите файл для установки, расположенный по пути Indeed AM <номер версии>/Indeed AM Providers/Indeed AM SMS OTP Provider/Server/<номер версии>, и следуйте шагам мастера установки.
Важно

Если в инфраструктуре используется несколько Core Server, то установку провайдера необходимо выполнить на всех серверах инфраструктуры. 

Если провайдер используется в клиентских сценариях с Indeed AM Windows Logon и ESSO Agent, установите провайдер на клиентские машины с помощью файла Indeed AM <номер версии>/Indeed AM Providers/Indeed AM SMS OTP Provider/Server/<номер версии>/Client/<Номер версии>/IndeedID.SMSOTP.Provider.msi.

  1. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.

  2. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка атрибута с номером телефона

Для смены атрибута по умолчанию добавьте следующие параметры в конфигурационный файл сервера C:\inetpub\wwwroot\am\core\Web.config

  • тег userMapRules в теге adUserCatalogProvider;
  • тег adObjectMapRule в теге userMapRules с следующими параметрами:
    • attribute="Phone" — указывает на изменяемый параметр;
    • adAttribute="mobile" — указывает, из какого атрибута Active Directory брать значение;
  • тег objectTypeSettings;
  • тег objectSetting с параметрами category="person" class="user".
Пример
<adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4">
                <userMapRules>
                        <adObjectMapRule attribute="Phone" adAttribute="mobile"/>
                    <objectTypeSettings>
                        <objectSetting category="person" class="user"></objectSetting>
                    </objectTypeSettings>
                </userMapRules>
        </adUserCatalogProvider>

Защита от спама

Механизм защиты от спама основан на расчете процента успешных аутентификаций относительно всех отправленных сообщений за указанный интервал времени. При этом расчет запускается, только если количество отправленных сообщений превышает количество, заданное вами в настройке Окно оценки.

При обнаружении спам-атаки дальнейшая отправка сообщений блокируется на заданный период времени, а при попытке входа возникает ошибка Potential spam attack detected.

Отправка сообщений возобновляется либо по истечении заданного периода, либо по достижении определенного количества (в процентном отношении) успешных аутентификаций.

Чтобы настроить защиту от спама, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор.
  2. В секции Настройки защиты от спама выполните следующие настройки:
    • включите или отключите защиту от спама;
    • в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
    • в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
    • в поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.
Пример
Настройка включена со следующими значениями:
  • Окно оценки попыток аутентификации — 600
  • Пороговое окно попыток аутентификации — 20
  • Процент успешных попыток аутентификации — 85

Защита от спама включится, если произойдет 21 попытка входа (отправлено 21 сообщение). Произойдет блокировка аутентификатора на 600 секунд.

Аутентификатор разблокируется в одном из случаев:

  • процент успешных входов (пользователь успешно ввел одноразовый пароль из сообщения) достигнет значения 85;
  • прошло 600 секунд с момента блокировки.
Информация

События лог-сервера:

  • 2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

  • 1118: Отправка сообщений пользователям возобновлена.

Дополнительные настройки

Чтобы выбрать и настроить тип подключения, выполнить настройки формата сообщения и телефонного номера, а также настройки одноразового пароля, перейдите в раздел с настройками групповых политик.