Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed Enterprise Single Sign-On

Indeed Enterprise Single Sign-On (ESSO Agent) реализует технологию единого доступа Single Sign On в информационные системы организации: централизованно хранит пароли приложений пользователя и выполняет автоматическую подстановку пароля в скрытом виде при необходимости доступа в приложение или выполнения других действий, требующих аутентификации.

ESSO Agent упрощает процедуру аутентификации в приложениях, исключая необходимость ручного ввода пароля и периодической смены пароля пользователем.

Технологии аутентификации

В ESSO Agent вы можете выполнить аутентификацию по следующим аутентификаторам:

Поддерживаемые приложения

Технология доступа Indeed Enterprise Single Sign-On применяется для windows и web приложений и настраивается без программного вмешательства в серверную или клиентскую часть целевого приложения. Поддержка нового приложения подразумевает создание специального шаблона в формате .xml. В шаблоне указывается, какие формы приложения будут контролироваться. Контроль доступа выражается в повторном запросе аутентификации, заполнении полей регистрационными данными (имя пользователя и пароль), активации нужных элементов управления (нажатие кнопки «Вход»), запись события в журнал и т.п.

Часто задаваемые вопросы о работе Indeed Enterprise Single Sign-On

Файлы для установки

Файлы для ESSO Agent расположены в папке indeed AM <Номер версии>\Indeed AM Enterprise SSO\<Номер версии>\:

  • IndeedID.ESSO.Agent.msi — пакет для установки ESSO Agent на 32-битные ОС;
  • IndeedID.ESSO.Agent.x64.msi — пакет для установки ESSO Agent на 64-битные ОС.

Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates.

Установка Indeed Enterprise Single Sign-On

Примечание

Установка модуля выполняется на рабочих местах пользователей. Для установки модуля требуются права локального администратора.

Для развертывания ESSO Agent на рабочих станциях пользователей в автоматическом режиме удобно использовать механизм групповых политик (Microsoft Group Policy) или любой другой инструмент, позволяющий
массово распространять и устанавливать msi-пакеты на рабочие станции пользователей (например Microsoft System Center Configuration Manager).

Подробнее со способами распространения компонентов системы Indeed AM в автоматическом режиме можно ознакомиться в документе Руководство по развертыванию системы.

Для установки ESSO Agent выполните следующее:

  1. Запустите программу установки IndeedID.Enterprise SSO.Agent.msi и следуйте указаниям Мастера установки.
  2. После завершения установки модуля потребуется перезагрузка системы. Нажмите Да, чтобы выполнить перезагрузку сразу, или Нет, чтобы сделать это позднее вручную.

Настройка подключения к Core Server

Настройка через реестр

  1. Откройте редактор реестра Windows.

  2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2.

  3. Измените строковый параметр ServerUrlBase и укажите URL вашего сервера Indeed, например http(s)://dc.indeed-id.local/am/core/.

    Примечание

    При использовании соединения по протоколу HTTPS требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.

Настройка через GPO

Если вы настраиваете подключение к серверу через политики, значения будут указаны по пути реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\SrvLocator2 и будут приоритетнее ручной настройки.

  1. Добавьте политику IndeedID.ServerUrl.admx на рабочее место с установленным ESSO Agent.

  2. Через gpedit.msc пройдите по пути: Конфигурация компьютера→Административные шаблоны→Indeed ID→ClientConnection→Настройки подключения к серверу и включите политику.

  3. В поле URL-адрес АМ сервера укажите URL вашего сервера Indeed, например http(s)://dc.indeed-id.local/am/core/.

Настройка веб-плагина Indeed ESSO

При работе с веб-приложениями ESSO Agent использует веб-плагин для браузеров Internet Explorer, Mozilla Firefox и Google Chrome.

Надстройка Indeed AM SSO Helper для Internet Explorer устанавливается вместе с ESSO Agent. Для работы расширения включите его в браузере.

Если после установки ESSO Agent надстройка не появилась в браузере, перейдите в Свойства браузера (Internet options)→Дополнительно (Advanced)→раздел Обзор (Browsing) и включите опцию Разрешение сторонних расширений обозревателя (Enable third-party browser extensions).

Примечание

На серверных операционных системах в дополнение перейдите в Диспетчер серверов (Server manager)→Локальный сервер (Loсal server) и отключите Конфигурацию усиленной безопасности Internet Explorer (IE ESC).

Для массовой настройки параметров работы с надстройками в Internet Explorer используйте групповые политики Windows.

Политики располагаются в Редакторе локальной групповой политики (Local Group Policy Editor, gpedit.msc) в разделе Конфигурация пользователя (User Configuration)→Административные шаблоны (Administrative Templates)→Компоненты Windows (Windows Components)→Internet Explorer.

  1. Включите политику Автоматически активировать новые установленные надстройки (Automatically activate newly installed add-ons) для автоматического включения веб-плагина.
  2. Чтобы запретить пользователям выключать надстройки, включите политику Не разрешать пользователям включать и отключать надстройки (Do not allow users to enable or disable addons).

Установка через механизм групповых политик

Расширение ESSO Agent, распространяемое групповыми политиками, устанавливается для всех пользователей рабочей станции. Для установки не требуется доступ в интернет.

Для настройки групповой политики на установку расширения ESSO Agent выполните следующие действия:

  1. Создайте в Диспетчере служб IIS (IIS Manager) веб-приложение с произвольным именем, например chromeplugin, определите для него пул приложений DefaultAppPool и Анонимную проверку подлинности (Anonymous Authentication).

  2. В каталог приложения поместите файлы lcjenjmcehnkfkghcflkfialplejjkdj.crx и update.xml (располагаются в дистрибутиве Indeed AM Single Sign-On\<версия>\Misc\ChromePlugin).

  3. В разделе Типы MIME (MIME Types) веб-сайта, в котором находится приложение chromeplugin, добавьте новый тип с расширением CRX и описанием application/chrome.

  4. Настройте безопасное соединение по протоколу HTTP для приложения chromeplugin и убедитесь, что к нему можно обратиться с рабочих станций пользователей.

  5. Добавьте шаблоны ADM/ADMX в локальное/центральное хранилище административных шаблонов контроллера домена и создайте новый объект групповой политики в оснастке Управление групповой политикой (Group Policy Management) с произвольным именем.

  6. Откройте для редактирования созданный объект групповой политики и перейдите в раздел Конфигурация компьютера (Computer Configuration)→Административные шаблоны (Administrative Templates)→Google→Google Chrome→Расширения (Extensions).

  7. Включите политику Создать список приложений и расширений, устанавливаемых принудительно (Configure the list of force-installed apps and extensions) и укажите идентификатор расширения (указан в имени файла CRX) и путь к XML-файлу в каталоге созданного в шаге 2 веб-приложения chromeplugin. Сохраните внесенные изменения. 

  8. Включите политику Настроить источники для установки расширений, приложений и пользовательских скриптов (Configure extension, app, and user script install sources) и укажите адрес сервера, на котором развернуто созданное в шаге 2 веб-приложение chromeplugin. Сохраните изменения.

  9. Распространите действие объекта групповой политики на рабочие станции пользователей с установленным ESSO Agent.

  10. Расширение автоматически загрузится и установится после применения групповой политики к рабочей станции. Может потребоваться до нескольких минут для того, чтобы оно отобразилось в списке установленных в браузере. Установленное через групповые политики расширение отмечено соответствующим символом.

Работа Indeed AM Single Sign-On

Работа ESSO Agent заключается в отслеживании запуска приложений и автоматическом заполнении полей и форм данными, необходимыми для получения доступа в приложение:
имя пользователя, пароль и т.п.

Автоматическое заполнение полей данными происходит только после подтверждения личности пользователя с применением поддерживаемой технологии аутентификации. Таким образом, Indeed AM Single Sign-On избавляет пользователей от необходимости запоминания, записи, хранения, ручного ввода паролей для выполнения входа в приложение.

Благодаря централизованному хранению SSO-профилей пользователи получают доступ в приложения
с любой рабочей станции, где установлен компонент ESSO Agent.

Поддержка в ESSO Agent технологий аутентификации, специально адаптированных для использования в терминальной среде и не требующих установки дополнительного оборудования, дает возможность
работать на «неподготовленном» компьютере и использовать тонкие клиенты на базе Windows CE, Linux, Wyse и т.п.

Единый доступ в приложения по технологии аутентификации Indeed

Доступ в приложения с использованием аутентификатора становится возможен после настройки учетной записи приложения, профиля пользователя и регистрации аутентификатора.

Для получения доступа в приложение выполните следующие действия:

  1. Выполните вход на рабочую станцию. В панели задач отобразится всплывающее сообщение об открытии сессии Single Sign-On.

  2. ESSO Agent запускается автоматически при входе в операционную систему. Для запуска вручную выберите пункт Indeed AM→AM SSO→AM SSO-Агент в меню Программы.

Выбор целевого приложения

Для выбора целевого приложения выполните одно из следующих действий:

  1. Нажмите [Ctrl]+[Alt]+[Q] или откройте приложение Indeed AM SSO Agent двойным щелчком по значку в области уведомлений Windows.

  2. Правой кнопки мыши нажмите значок в области уведомлений Windows, появится контекстное меню приложения Indeed-Id ESSO Agent и выберите пункт Быстрый запуск

В окне Выбор приложения доступны приложения, разрешенные для запуска с помощью ESSO Agent.

Вид окна Выбор приложения определяется настройками ESSO-приложений. На рисунке ниже представлена ситуация, когда у целевого приложения один исполняемый файл.

Информация

Если для одного целевого приложения настроено несколько учетных записей SSO, то после выбора приложения потребуется выбрать учетную запись.

Если приложение содержит в себе несколько компонентов (например, приложение «1С: Предприятие» может содержать в себе приложения «1С: Бухгалтерия», «1С: Управление Торговлей» и т.д.), то исполняемые файлы каждого компонента группируются для удобства выбора в панели быстрого запуска под одним именем.

На рисунке ниже приведен пример группировки нескольких компонентов 1С под одним именем «1С: Предприятие».

После выбора приложения потребуется выбрать учетную запись, если их несколько для выбранного приложения.

Аутентификация

Для аутентификации в приложении выполните следующие действия:

  1. Выберите имя пользователя и способ входа. По умолчанию операционная система предлагает последний использованный способ. Следуйте подсказкам на экране и предоставьте обученный аутентификатор. При наличии нескольких обученных аутентификаторов используйте любой из них.

  2. Для выбора аутентификатора нажмите Сменить способ входа.

  3. После аутентификации отображается окно входа в целевое приложение. В поля Имя пользователя и Пароль автоматически подставляются данные, указанные при создании учетной записи SSO, и выполняется вход в приложение. 

    Помимо автоматической подстановки учетных данных в форму входа приложения, поддерживается и ручной ввод логина и пароля. Указанные при первом входе в приложение логин и пароль запоминаются и будут автоматически подставлены при следующем входе.

    При отмене аутентификации вход в приложение не будет выполнен: текущая форма приложения или само приложение будет закрыто.

  4. Если в настройках запуска приложения администратором определен параметр запуска приложения только при помощи ESSO Agent и настроено требование аутентификации при входе в приложение, то в случае отмены аутентификации отобразится сообщение об ошибке.

Доступ к целевым приложениям регулируется административными настройками. Некоторые приложения могут быть запрещены для запуска администратором ESSO. Запрещенные приложения недоступны в окне Выбор приложения. При попытке запуска запрещенного приложения отображается сообщение об ошибке A device attached to the system is not functioning.

Смена пользователя

Для изменения пользователя ESSO выполните следующие действия:

  1. Выполните вход в операционную систему и перейдите в контекстное меню ESSO Agent.

  2. Откройте приложение Indeed AM SSO Agent двойным щелчком по значку в области уведомлений Windows.

  3. Правой кнопки мыши нажмите значок в области уведомлений Windows, в появившемся контекстном меню приложения Indeed AM SSO agent выберите пункт Сменить пользователя...

  4. В окне Вход в SSO введите имя учетной записи, под которой требуется выполнить вход в приложение.

  5. Выполните аутентификацию по имеющимся у выбранного пользователя аутентификаторам. В случае успешной аутентификации ESSO Agent откроет сессию SSO выбранного пользователя.

Вход в целевое приложение при отсутствии сети

Вход в приложение по аутентификатору может быть выполнен даже при отсутствии физического подключения к сети. Действия при входе в приложение в отсутствие сети по кешированному аутентификатору аналогичны действиям при входе в приложение по аутентификатору при доступной сети.

Данный способ входа доступен, если:

  • для вашей учетной записи было установлено разрешение на кеширование аутентификаторов;
  • было выполнено кеширование аутентификаторов (при первом входе в систему по аутентификатору);
  • был выполнен вход в приложение по кешированному аутентификатору при доступной сети;

Срок действия аутентификаторов

Срок действия кешированных аутентификаторов может быть ограничен администратором системы.

По умолчанию этот срок составляет 10 дней, отсчитывается с даты последнего входа в приложение и не зависит от того, будет ли выполнен вход в приложение в дальнейшем в течение этого срока.Например, при установленном сроке 10 дней и выполнении входа в приложение в 10 ч 00 мин 12.04.2010 кешированные аутентификаторы будут действительны с 10 ч 00 мин 12.04.2010 до 10 ч 00 мин 22.04.2010.

Если для вашей учетной записи разрешено кеширование аутентификаторов, то уточните у администратора наличие возможных ограничений.

Если срок действия кешированных аутентификаторов истек и серверы Indeed недоступны, при попытке входа в приложение отображается сообщение об ошибке Ошибка при входе в систему. Сервер не найден. Кеширование данных пользователя запрещено.

Настройка входа в целевое приложение при отсутствии сети

В случаях, когда отсутствует соединение с Core Server, пользователи могут пройти аутентификацию в ESSO Agent в офлайн-режиме. Для этого используется сессия, закешированная на компьютере пользователя.

Для настройки входа по закешированной сессии, используйте политику «Настройки публичного ключа сеанса».

Чтобы настроить вход в офлайн-режиме, выполните следующее:

  1. Добавьте файл политики IndeedID.SessionPublicKey.admx (расположена в каталоге indeed AM <номер версии>\Misc\ADMX Templates) на компьютер с установленным ESSO Agent.
  2. В поле Публичный ключ сессии введите значение публичного ключа, сгенерированного при установке Core Server (сохраняется в файле SessionPublicKey.pub).

Настройка хранения сессии в кеше

При кратковременных разрывах подключения к серверу Indeed Access Manager вы можете настроить период, в течение которого сессию можно будет использовать повторно.

В течение заданного периода сессия хранится в кеше и может быть повторно использована при запросе на новое соединение с сервером. При этом проверка работоспособности сервера повторно не происходит, вместо этого используется закешированный результат проверки.

По истечении периода хранения сессия завершается. По новому запросу на соединение с сервером создается новая сессия.

РазделПараметрТипЗначение по умолчанию
SrvLocator2SessionHoldPeriodMsDWORD3 минуты

Управление паролем

ESSO Agent предусматривает регулярную смену пароля в приложениях. Как правило, пароль меняется автоматически.

Самостоятельная ручная смена пароля регулируется установками администратора ESSO. Если ручная смена пароля разрешена, при очередной смене пароля новое значение пароля не генерируется автоматически, а запрашивается у пользователя.

Поведение при запросе нового пароля у пользователя зависит от типа учетной записи пользователя, выбранного администратором Indeed AM ESSO.

Если администратором настроена ручная смена пароля пользователем, то при смене пароля отобразится следующее окно.

Введите новый пароль и подтвердите его.

  • Режим ввода пароля (скрытый пароль/открытый ввод символов) регулируется нажатием кнопки Открыть пароль
  • При нажатии кнопки Генерировать случайный пароль выполняется автоматическая генерация пароля в соответствии с установленными для данного приложения ограничениями;
  • Сгенерированный пароль автоматически вставляется в поле Пароль, при этом включается функция Открыть пароль и очищается поле Подтверждение пароля;

При вводе нового пароля в стандартном режиме выполняется проверка пароля на соответствие критериям сложности, установленным для данного приложения. В случае несоответствия пароля критериям сложности отображается сообщение об ошибке.

Если учетная запись ESSO относится к типу Учетные данные Active Directory, при смене пароля отображается следующее сообщение.

Команды Indeed ESSO Агент

Нажатием правой кнопкой мыши по значку приложения Indeed ESSO Agent в панели уведомлений Windows вы можете вызвать контекстное меню. В меню доступны следующие команды:

  • Сменить пользователя — выбрать другую учетную запись для получения доступа в приложение. При выборе команды отображается окно Вход в SSO со списком доступных учетных записей и возможностью выбрать способ входа. По умолчанию используется способ, при помощи которого выполнялся последний вход пользователя.

  • Отключить быстрые клавиши — отключить использование комбинаций клавиш (по умолчанию все комбинации включены):

    • [CTRL]+[ALT]+[Q] — вызов окна быстрого запуска;
    • [CTRL]+[ALT]+[U] — обновление данных ESSO;
    • [CTRL]+[ALT]+[R] — принудительная обработка формы приложения («рематчинг»);
  • Быстрый запуск — выполняется при выборе соответствующего пункта в контекстном меню ESSO Agent или при нажатии комбинации [CTRL]+[ALT]+[Q] и предоставляет доступ к списку приложений, разрешенных для запуска (открывается окно Выбор приложения).

Примечание

Приложение не отображается в списке, если ESSO Agent не может найти его исполняемый файл на рабочей станции пользователя.

  • Обновить данные — загрузить изменения профиля SSO. Примеры сообщений приведены на рисунках ниже:

    • Обновление данных ESSO

    • Новые данные ESSO получены

    • Ошибка обновления данных:

Обработка ошибок

При возникновении ошибок во время работы (например, ошибка заполнения формы) ESSO Agent предоставляет возможность выбора действия для обработки ошибки. В таких случаях отображается окно Обработка ошибки.

В окне Обработка ошибки предлагаются варианты действий (после выбора действия окно закроется автоматически):

  • Повторить — операция, в ходе которой возникла ошибка, будет выполнена повторно.
  • Завершить приложение — приложение, при работе с которым возникла ошибка, будет завершено. Не сохраненные данные будут потеряны.
  • Закрыть окно — будет закрыто текущее окно или форма приложения. При закрытии главного окна приложение может быть завершено.
  • Игнорировать — не будет предпринято никаких действий.