Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed AM Software OTP Provider

С помощью Software OTP Provider вы можете реализовать двухфакторную аутентификацию, основанную на программном обеспечении. Аутентификатор представляет собой одноразовый пароль, который пользователь должен предоставить в дополнение к своему логину и паролю, чтобы получить доступ к приложению.

Одноразовый пароль генерируется автономно на мобильном устройстве (телефон, смартфон, планшет) с использованием специализированного приложения (например, Indeed Key, Google Authenticator, Яндекс.Ключ). Генерация одноразового пароля производится на основе двух параметров: секретного ключа, задаваемого на этапе регистрации аутентификатора, и текущего времени.

Технология аутентификации основана на системе, где для заданного секретного ключа пользователя в каждый момент времени существует единственный верный одноразовый пароль. Таким образом, имея информацию о секретном ключе, сервер может проверить переданный пользователем одноразовый пароль. Для правильного функционирования технологии время на мобильном устройстве и сервере аутентификации должно совпадать (при этом допускается погрешность, величина которой может регулироваться администратором).

Идентификатор провайдера

{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}

Идентификатор провайдера для Indeed AM NPS RADIUS Extension

{B772829C-4076-482B-B9BD-53B55EA1A302}

Файлы для установки

Файлы для Indeed AM Software OTP Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Software OTP Provide\<Номер версии>.

  • IndeedId.SoftwareTOTP.Provider-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed Software OTP Provider на 32- и 64-битных ОС.

Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates*.

Установка провайдера

Для работы провайдера требуется установка Indeed AM Bsp Broker на сервере Indeed AM.

Файлы для Indeed Bsp Broker расположены в папке indeed AM <Номер версии>\Indeed Providers\Indeed AM Bsp Broker\<Номер версии>

  • IndeedEA.AuthProviders.BspBroker-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed Bsp Broker на 64-х битных ОС.
  • IndeedEA.AuthProviders.BspBroker-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed Bsp Broker на 32-х битных ОС.

Чтобы установить Software OTP Provider, выполните следующее:

  1. Выполните установку Software OTP Provider через запуск соответствующего пакета.

    Важно

    Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры. 

  2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.

  3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка параметров аутентификации

Перед настройкой групповой политики добавьте шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в папке Misc.

Примечание

Настройка политик необходима для повышения уровня безопасности. Однако полноценная работа Software OTP Provider возможна и со значениями политик, определенными по умолчанию.

  • Длина одноразового пароля — политика определяет количество цифр в одноразовом пароле. Возможно задать значение 6 или 8. Если политика не определена, по умолчанию используется значение 6.

    Важно

    При использовании провайдера Software OTP в сценариях с модулями Indeed Enterprise Single Sign-On и Indeed Windows Logon в настоящее время поддерживается использование только шестизначного пароля.

  • Время действия одноразового пароля — политика определяет, каким должен быть минимальный период действия одноразового пароля при обучении. Период задается целым числом от 3 до 18, где 3 соответствует временному промежутку в 30 секунд (+/- 15 секунд). Если политика не определена, по умолчанию используется значение 6.

  • Минимальная длина PIN-кода — политика позволяет задать минимальное количество символов, из которых должен состоять PIN-код. Допустимый диапазон от 4 до 25 символов.

  • Формат имени — политика позволяет задать параметр пользователя в качестве имени ОТР-аккаунта, который будет передаваться в QR-коде. Возможные параметры:

    • CanonicalName,
    • CN,
    • DistiguishedName,
    • FullName,
    • Mail,
    • PrincipalName,
    • SamCompatibleName.
Информация

Политика применяется к серверам с установленной Management Console. Если политика не была применена, в качестве имени OTP-аккаунта будет использоваться имя пользователя.

Настройка алгоритма шифрования

В Indeed Access Manager 8.2 и выше вы можете задать алгоритм шифрования для Software OTP Provider.

Для этого выполните следующее:

  1. Откройте редактор реестра на машине, где развернуты Management Console и User Console.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\GoogleOTP.

    Совет

    При необходимости создайте недостающий раздел в реестре.

  3. Создайте параметр SecretLength типа DWORD и укажите одно из следующих значений:

    • 20 — для алгоритма SHA1,
    • 32 — для алгоритма SHA256,
    • 64 — для алгоритма SHA512.