Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed AM Storage SMS OTP Provider

Если в качестве хранилища данных Indeed AM вы используете Microsoft SQL, вы можете использовать провайдер Indeed AM Storage SMS OTP. Этот провайдер предоставляет возможность хранения, получения и обновления телефонных номеров пользователей системы Indeed AM в базе данных. Номера телефонов хранятся в зашифрованном виде. 

Важно

Для использования Storage SMS OTP Provider необходимо наличие СМС-шлюза. Данный шлюз должен быть доступен с каждого сервера Indeed AM, на котором предполагается установка Storage SMS OTP Provider. 

Storage SMS OTP Provider может быть использован для аутентификации в следующих модулях:

Идентификатор провайдера

{3F2C1156-B5AF-4643-BFCB-9816012F3F34}

Файлы для установки

Файлы для Indeed AM Storage SMS Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Storage SMS OTP Provider.

  • Server\<Номер версии>\IndeedAM.AuthProviders.StorageSmsOTP-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed Storage SMS OTP Provider на 64-битных ОС.
  • Server\<Номер версии>\IndeedAM.AuthProviders.StorageSmsOTP-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed Storage SMS OTP Provider на 32-битных ОС.
  • Client\<Номер версии>\IndeedID.SMSOTP.Provider.msi — пакет для установки Indeed Storage SMS OTP Provider на клиентские машины.

Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates.

Установка провайдера

  1. Выполните установку Storage SMS OTP Provider через запуск соответствующего пакета.

    Примечание

    При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent выполните установку провайдера из папки Client на клиентские машины.

  2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.

  3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Регистрация провайдера

Рекомендуется регистрировать провайдер через облегченную версию API компонента Indeed AM Phone Management Server, предназначенную специально для работы с провайдером Storage SMS OTP, также возможно использование основного API системы Indeed.

Сервис отправки СМС

Информация

Перед настройкой групповой политики необходимо добавить шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.

Политика применяется к серверам Indeed AM и определяет следующие настройки для сервера отправки СМС:

  • Use tls — использование шифрования;

  • URL(IP-адрес) — адрес подключения к серверу;

  • Порт — порт подключения к серверу;

  • SystemId (Логин) — имя учетной записи для подключению к серверу;

  • Пароль — пароль учетной записи для подключения к серверу; 

  • SystemType — поле PDU операции BIND_TRANSCEIVER протокола SMPP;

  • Отправитель — имя отправителя, которое будет отображаться при получении СМС;

  • Дополнительный текст перед OTP — произвольный текст сообщения, предшествующий одноразовому паролю. По умолчанию отправляется только одноразовый пароль, для дополнительной настройки параметров используйте следующие параметры:

    • <app> — имя приложения, отправившего запрос на авторизацию;

    • <requestLocalServerTime> — локальное серверное время получения запроса;

    • <requestComputerDns> — DNS-имя компьютера, отправившего запрос;

    • <requestComputerIp> — IP-адрес компьютера, отправившего запрос;

      Информация

      Отображение одноразового пароля не настраивается, пароль всегда отображается в конце сообщения.

      Для переноса строк отправляемого сообщения внесите изменения в реестр HKLM/SOFTWARE/Policies/Indeed-ID/BSPs/SMSOTP. Измените значение для старого параметра messageOTP c типом REG_SZ на messageOTP с типом REG_MULTI_SZ.

  • Время ожидания статуса SMS — время ожидания получения статуса отправленного СМС с сервера;

  • PDU со статусом SMS — PDU, в котором сервер присылает статус отправленного сообщения;

  • source_addr_ton — тип номера (Type of Number) для исходного адреса;

  • source_addr_npi — индикатор схемы присвоения номеров (Numbering Plan Indicator) для исходного адреса;

  • dest_addr_ton — тип номера (Type of Number) для адресата;

  • dest_addr_npi — индикатор схемы присвоения номеров (Numbering Plan Indicator) для адресата;

  • esm_class — указывает Message Mode&Message Type;

  • registered_delivery — индикатор указывает на то, что запрашивается расписка о получении СМС или подтверждение SME;

  • data_coding — определяет схему кодировки пользовательских данных короткого сообщения.

Настройка формата сообщения

Политика позволяет задать настройки формата отображения даты. Примеры форматов можно посмотреть в статье Microsoft.

Включен (Enabled) — дата будет отображаться согласно заданного в политике формата.

Настройка одноразового пароля

Политика применяется к серверам Indeed AM и позволяет задать длину и вхождение групп символов при генерации одноразового пароля.

  • Не задано (Not Configured) — одноразовый пароль будет состоять из цифр, строчных латинских букв и иметь длину в 6 символов.
  • Включено (Enabled) — одноразовый пароль будет генерироваться согласно заданным в политике правилам. Длина пароля должна быть не менее 4 и не более 24 символов.
  • Отключено (Disabled) — одноразовый пароль будет состоять из цифр, строчных латинских букв и иметь длину в 6 символов.

Настройка одновременного подключения к серверу SMPP

Политика применяется к серверам Indeed AM и определяет порядок обработки запросов к серверу SMPP. Включение политики может быть необходимо, если сервер SMPP не поддерживает несколько подключений от одного пользователя (учетной записи, указанной в политике Сервис отправки СМС) одновременно.

Не задан (Not Configured) или Отключен (Disabled) — подключение к серверу SMPP и запросы на отправку сообщений будут происходить параллельно.

Включен (Enabled) — подключение к серверу SMPP и запросы на отправку сообщений будут происходить последовательно.

Защита от спама

Осуществляется оценка процента успешных входов относительно всех отправленных сообщений за указанный интервал времени (оценка осуществляется только если количество отправленных сообщений превышает окно оценки).

При обнаружении атаки блокируется дальнейшая отправка сообщений, при попытке входа возникает ошибка Potential spam attack detected.

Отправка возобновится спустя некоторое время, когда будет превышен необходимый порог успешных входов за указанный интервал времени. Максимальное время блокировки равно временному интервалу оценки. 

Чтобы настроить защиту от спама, выполните следующее:

  1. Откройте редактор реестра.
  2. Создайте раздел Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-Id\BSPs\SMSOTP\SpamProtection.
  3. Создайте следующие параметры:
    • SpamProtectionEnabled — флаг включения защиты от спама (DWORD). Значение по умолчанию: 0;
    • TimeSpanSec — интервал времени (в секундах), по которому осуществляются расчеты (DWORD). Значение по умолчанию: 600;
    • EvaluationWindow — окно оценки (DWORD). Значение по умолчанию: 10;
    • MinSuccessfulLogonPercent — минимальный процент успешных входов относительно всех отправленных сообщений (DWORD). Значение по умолчанию: 20.
Информация

События лог-сервера:

  • 2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

  • 1118: Отправка сообщений пользователям возобновлена.