Indeed Enterprise Single Sign-On

Indeed AM Enterprise Single Sign-On (ESSO, Enterprise SSO) реализует технологию единого доступа Single Sign On в информационные системы организации. Модуль централизованно хранит пароли пользователя и выполняет автоматическую подстановку пароля в скрытом виде при входе в приложение или других действиях, требующих аутентификации.

Автоматическое заполнение полей данными происходит после подтверждения личности пользователя с помощью аутентификатора. Таким образом, Indeed AM Single Sign-On избавляет пользователей от необходимости запоминания, записи, хранения, ручного ввода паролей для выполнения входа в приложение.

Благодаря централизованному хранению SSO-профилей пользователи получают доступ в приложения с любого компьютера, где установлен компонент.

Технологии аутентификации

В Enterprise SSO вы можете выполнить аутентификацию по следующим аутентификаторам:

• мобильное приложение Indeed Key в режиме отправки одноразовых паролей и push-уведомлений с подтверждением входа,
• Email OTP,
• MFA Provider,
• Secured TOTP,
• Storage SMS OTP,
• SMS OTP,
• Software OTP,
• Passcode,
• Hardware HOTP,
• Smart Card Provider,
• IronLogic Z2USB Provider,
• OMNIKEY Provider,
• Futronic Provider.

Поддерживаемые приложения

Технология доступа Indeed Enterprise Single Sign-On применяется для win- и веб-приложений и настраивается без программного вмешательства в серверную или клиентскую часть целевого приложения. Для поддержки нового приложения нужно создать специальный шаблон в формате XML. В шаблоне указывается, какие формы приложения будут контролироваться. Контроль доступа осуществляется в виде повторного запроса аутентификации, заполнении полей учетными данными, активации нужных элементов управления, записи события в журнал.

О том, как добавить и настроить поддерживаемые приложения в Management Console — в разделе Модуль ESSO.

Часто задаваемые вопросы о работе Indeed Enterprise Single Sign-On

Предварительная настройка

Чтобы использовать Enterprise SSO:

1. Установите модуль ESSO Agent на клиентской машине.
2. Настройте подключение к Core Server.
3. Для работы с веб-приложениями настройте расширение Indeed ESSO.
4. Создайте шаблон целевого приложения с помощью утилиты Indeed-Id ESSO Template Wizard.
5. Добавьте и настройте приложение в Management Console.

Установить ESSO Agent

Примечание

Установить модуль нужно на компьютерах пользователей. Для этого требуются права локального администратора.

Чтобы установить ESSO Agent:

1. Запустите файл для установки Indeed AM <номер версии>/Indeed AM ESSO Agent/<номер версии>/IndeedID.Enterprise SSO.Agent.msi и следуйте указаниям Мастера установки.
2. После завершения установки модуля потребуется перезагрузка системы. Нажмите Да, чтобы выполнить перезагрузку сразу, или Нет, чтобы сделать это позднее вручную.

Чтобы установить ESSO Agent на компьютерах пользователей в автоматическом режиме, удобно использовать механизм групповых политик (Microsoft Group Policy) или любой другой инструмент, позволяющий массово распространять и устанавливать MSI-пакеты, например Microsoft System Center Configuration Manager.

Подробнее о способах распространения компонентов системы Indeed AM в автоматическом режиме — в Руководстве по развертыванию системы.

Настроить ESSO Agent

Настроить Enterprise SSO можно через редактор реестра или с помощью групповых политик.

При этом настройки через групповые политики будут приоритетнее настроек, заданных через реестр вручную. Посмотреть настройки групповых политик в реестре можно по пути HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\SrvLocator2.

Через реестр

1. Откройте редактор реестра Windows на компьютере пользователя.

2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2.

3. Откройте свойства строкового параметра ServerUrlBase.

4.  В поле Значение укажите URL вашего Core Server в формате http(s)://полное_dns_имя_сервера/am/core/.

   Примечание

   При использовании соединения по протоколу HTTPS установите клиентский сертификат на каждый Core Server.

Через GPO

1. Добавьте политику IndeedID.ServerUrl.admx на компьютер с установленным ESSO Agent. Шаблоны групповых политик расположены в папке Indeed AM <номер версии>\Misc\ADMX Templates.

2. Откройте редактор GPO.

3. Откройте раздел Конфигурация компьютера → Административные шаблоны → Indeed ID → ClientConnection.

4. Включите политику Настройки подключения к серверу.

5. В поле URL-адрес АМ сервера укажите адрес вашего Core Server в формате http(s)://полное_dns_имя_сервера/am/core/.

   

Настроить расширение Indeed ESSO

При работе с веб-приложениями ESSO использует расширение для браузеров Internet Explorer, Mozilla Firefox и Google Chrome.

Internet Explorer

Расширение Indeed AM SSO Helper для Internet Explorer устанавливается вместе с ESSO Agent. Для работы расширения включите его в браузере.

Если после установки расширение ESSO Agent не появилось в браузере, перейдите в Свойства браузера (Internet options)→Дополнительно (Advanced)→раздел Обзор (Browsing) и включите опцию Разрешение сторонних расширений обозревателя (Enable third-party browser extensions).

Чтобы расширение заработало, включите его в браузере.

Примечание

На серверных операционных системах дополнительно перейдите в Диспетчер серверов (Server manager)→Локальный сервер (Loсal server) и отключите Конфигурацию усиленной безопасности Internet Explorer (IE ESC).

Для массовой настройки параметров работы с расширениями в Internet Explorer используйте групповые политики Windows.

Политики располагаются в Редакторе локальной групповой политики (Local Group Policy Editor, gpedit.msc) в разделе Конфигурация пользователя (User Configuration)→Административные шаблоны (Administrative Templates)→Компоненты Windows (Windows Components)→Internet Explorer.

1. Включите политику Автоматически активировать новые установленные надстройки (Automatically activate newly installed add-ons), чтобы расширение включалось автоматически включения.
2. Чтобы запретить пользователям выключать надстройки, включите политику Не разрешать пользователям включать и отключать надстройки (Do not allow users to enable or disable addons).

Mozilla Firefox

Расширение Indeed Id ESSO устанавливается вместе с модулем ESSO Agent. Чтобы расширение заработало, включите его в браузере.

Google Chrome

Расширение Indeed Id ESSO устанавливается в ручном или автоматическом режиме через механизм групповых политик Microsoft Windows.

При установке вручную из магазина Chrome необходимо загрузить и включить расширение для каждого пользователя компьютера.

Расширение, распространяемое групповыми политиками, устанавливается для всех пользователей компьютера. Для установки не требуется доступ в интернет.

Чтобы установить расширение:

Из магазина Chrome

1. Установите ESSO Agent на компьютер с доступом в интернет.
2. Запустите Google Chrome.

Расширение загрузится автоматически в течение 1 минуты. После загрузки расширения доступ к интернету не требуется.

Чтобы расширение заработало, включите его в браузере.

Примечание

Если расширение было удалено из браузера вручную, то для повторной установки загрузите его из интернет-магазина Chrome.

Через GPO

1. Запустите диспетчер служб IIS (IIS Manager).

2. В области Подключения раскройте узел имя сервера → сайты → Default Web Site.

3. Нажмите правой кнопкой мыши Default Web Site и выберите Добавить приложение.

4. В открывшемся окне задайте следующие настройки:

   • В поле Псевдоним укажите произвольное имя приложения, например chromeplugin.
   • Для настройки Пул приложений выберите значение DefaultAppPool.
   • В поле Физический путь выберите каталог для приложения.

5. Нажмите ОК.

6. В настройках приложения откройте Проверка подлинности и включите Анонимную проверку подлинности (Anonymous Authentication).

7. В каталог приложения поместите файлы lcjenjmcehnkfkghcflkfialplejjkdj.crx и update.xml из дистрибутива Indeed AM <номер версии>\Indeed AM ESSO Agent\<номер версии>\Misc\Chrome.WebExt.

8. В диспетчере служб IIS перейдите на узел Default Web Site.

9. В разделе настроек Типы MIME (MIME Types) добавьте новый тип с расширением .CRX и описанием application/chrome.

   

10. Настройте безопасное соединение по протоколу HTTPS для приложения chromeplugin и убедитесь, что к нему можно обратиться с компьютеров пользователей.

11. Добавьте шаблоны ADM/ADMX в локальное или центральное хранилище административных шаблонов контроллера домена.

12. Откройте Управление групповой политикой (Group Policy Management) и создайте новый объект групповой политики с произвольным именем.

13. Нажмите правой кнопкой мыши на созданный объект групповой политики и выберите Изменить.

14. В открывшемся окне перейдите в раздел Конфигурация компьютера (Computer Configuration)→Административные шаблоны (Administrative Templates)→Google→Google Chrome→Расширения (Extensions).

15. Включите политику Создать список приложений и расширений, устанавливаемых принудительно (Configure the list of force-installed apps and extensions).

16. В свойствах политики в разделе Параметры нажмите Показать.

17. В открывшемся окне укажите идентификатор расширения из имени файла CRX и путь к XML-файлу в каталоге chromeplugin.

    

18. Включите политику Настроить источники для установки расширений, приложений и пользовательских скриптов (Configure extension app, and user script install sources).

19. Укажите адрес сервера, на котором развернуто приложение chromeplugin.

20. Добавьте компьютеры пользователей с установленным ESSO Agent в область действия объекта групповой политики.

    Расширение автоматически загрузится и установится после применения групповой политики к компьютеру пользователя. Может потребоваться до нескольких минут для того, чтобы оно отобразилось в списке установленных в браузере. Установленное через групповые политики расширение отмечено соответствующим символом.