Indeed Enterprise Single Sign-On

Indeed Enterprise Single Sign-On (ESSO Agent) реализует технологию единого доступа Single Sign On в информационные системы организации: централизованно хранит пароли приложений пользователя и выполняет автоматическую подстановку пароля в скрытом виде при необходимости доступа в приложение или выполнения других действий, требующих аутентификации.

ESSO Agent упрощает процедуру аутентификации в приложениях, исключая необходимость ручного ввода пароля и периодической смены пароля пользователем.

Технологии аутентификации

В ESSO Agent вы можете выполнить аутентификацию по следующим аутентификаторам:

• мобильное приложение Indeed Key (в режиме отправки одноразовых паролей и push-уведомлений с подтверждением входа),
• Email OTP,
• MFA Provider,
• Storage SMS OTP,
• SMS OTP,
• Software OTP,
• Passcode,
• Hardware HOTP,
• Smart Card Provider,
• IronLogic Z2USB Provider,
• OMNIKEY Provider,
• Futronic Provider.

Поддерживаемые приложения

Технология доступа Indeed Enterprise Single Sign-On применяется для windows и web приложений и настраивается без программного вмешательства в серверную или клиентскую часть целевого приложения. Поддержка нового приложения подразумевает создание специального шаблона в формате .xml. В шаблоне указывается, какие формы приложения будут контролироваться. Контроль доступа выражается в повторном запросе аутентификации, заполнении полей регистрационными данными (имя пользователя и пароль), активации нужных элементов управления (нажатие кнопки «Вход»), запись события в журнал и т.п.

Часто задаваемые вопросы о работе Indeed Enterprise Single Sign-On

Файлы для установки

Файлы для ESSO Agent расположены в папке indeed AM <Номер версии>\Indeed AM Enterprise SSO\<Номер версии>\:

• IndeedID.ESSO.Agent.msi — пакет для установки ESSO Agent на 32-битные ОС;
• IndeedID.ESSO.Agent.x64.msi — пакет для установки ESSO Agent на 64-битные ОС.

Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates.

Установка Indeed Enterprise Single Sign-On

Примечание

Установка модуля выполняется на рабочих местах пользователей. Для установки модуля требуются права локального администратора.

Для развертывания ESSO Agent на рабочих станциях пользователей в автоматическом режиме удобно использовать механизм групповых политик (Microsoft Group Policy) или любой другой инструмент, позволяющий
массово распространять и устанавливать msi-пакеты на рабочие станции пользователей (например Microsoft System Center Configuration Manager).

Подробнее со способами распространения компонентов системы Indeed AM в автоматическом режиме можно ознакомиться в документе Руководство по развертыванию системы.

Для установки ESSO Agent выполните следующее:

1. Запустите программу установки IndeedID.Enterprise SSO.Agent.msi и следуйте указаниям Мастера установки.
2. После завершения установки модуля потребуется перезагрузка системы. Нажмите Да, чтобы выполнить перезагрузку сразу, или Нет, чтобы сделать это позднее вручную.

Настройка подключения к Core Server

Настройка через реестр

1. Откройте редактор реестра Windows.

2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2.

3. Измените строковый параметр ServerUrlBase и укажите URL вашего сервера Indeed, например http(s)://dc.indeed-id.local/am/core/.

   Примечание

   При использовании соединения по протоколу HTTPS требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.

   

Настройка через GPO

Если вы настраиваете подключение к серверу через политики, значения будут указаны по пути реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\SrvLocator2 и будут приоритетнее ручной настройки.

1. Добавьте политику IndeedID.ServerUrl.admx на рабочее место с установленным ESSO Agent.

2. Через gpedit.msc пройдите по пути: Конфигурация компьютера→Административные шаблоны→Indeed ID→ClientConnection→Настройки подключения к серверу и включите политику.

   

3. В поле URL-адрес АМ сервера укажите URL вашего сервера Indeed, например http(s)://dc.indeed-id.local/am/core/.

   

Настройка веб-плагина Indeed ESSO

При работе с веб-приложениями ESSO Agent использует веб-плагин для браузеров Internet Explorer, Mozilla Firefox и Google Chrome.

Internet Explorer

Надстройка Indeed AM SSO Helper для Internet Explorer устанавливается вместе с ESSO Agent. Для работы расширения включите его в браузере.

Если после установки ESSO Agent надстройка не появилась в браузере, перейдите в Свойства браузера (Internet options)→Дополнительно (Advanced)→раздел Обзор (Browsing) и включите опцию Разрешение сторонних расширений обозревателя (Enable third-party browser extensions).

Примечание

На серверных операционных системах в дополнение перейдите в Диспетчер серверов (Server manager)→Локальный сервер (Loсal server) и отключите Конфигурацию усиленной безопасности Internet Explorer (IE ESC).

Для массовой настройки параметров работы с надстройками в Internet Explorer используйте групповые политики Windows.

Политики располагаются в Редакторе локальной групповой политики (Local Group Policy Editor, gpedit.msc) в разделе Конфигурация пользователя (User Configuration)→Административные шаблоны (Administrative Templates)→Компоненты Windows (Windows Components)→Internet Explorer.

1. Включите политику Автоматически активировать новые установленные надстройки (Automatically activate newly installed add-ons) для автоматического включения веб-плагина.
2. Чтобы запретить пользователям выключать надстройки, включите политику Не разрешать пользователям включать и отключать надстройки (Do not allow users to enable or disable addons).

Mozilla Firefox

Расширение Indeed AM ESSO устанавливается вместе с модулем ESSO Agent. Для работы расширения включите его в браузере.

Google Chrome

Расширение Indeed AM ESSO устанавливается в ручном или автоматическом режиме через механизм групповых политик Microsoft Windows.

Установка из интернет-магазина Chrome:

1. Установите ESSO Agent на рабочую станцию с доступом в интернет.
2. Запустите Google Chrome.

Расширение загрузится автоматически в течение 1 минуты. После загрузки расширения доступ к интернету не требуется.

Для работы расширения включите его в браузере.

Примечание

Необходимо загрузить и включить расширение для каждой сессии пользователя в Windows. Если расширение было удалено из браузера вручную, то для повторной установки загрузите его из интернет-магазина Chrome.

Установка через механизм групповых политик

Расширение ESSO Agent, распространяемое групповыми политиками, устанавливается для всех пользователей рабочей станции. Для установки не требуется доступ в интернет.

Для настройки групповой политики на установку расширения ESSO Agent выполните следующие действия:

1. Создайте в Диспетчере служб IIS (IIS Manager) веб-приложение с произвольным именем, например chromeplugin, определите для него пул приложений DefaultAppPool и Анонимную проверку подлинности (Anonymous Authentication).

2. В каталог приложения поместите файлы lcjenjmcehnkfkghcflkfialplejjkdj.crx и update.xml (располагаются в дистрибутиве Indeed AM Single Sign-On\<версия>\Misc\ChromePlugin).

3. В разделе Типы MIME (MIME Types) веб-сайта, в котором находится приложение chromeplugin, добавьте новый тип с расширением CRX и описанием application/chrome.

   

4. Настройте безопасное соединение по протоколу HTTP для приложения chromeplugin и убедитесь, что к нему можно обратиться с рабочих станций пользователей.

5. Добавьте шаблоны ADM/ADMX в локальное/центральное хранилище административных шаблонов контроллера домена и создайте новый объект групповой политики в оснастке Управление групповой политикой (Group Policy Management) с произвольным именем.

6. Откройте для редактирования созданный объект групповой политики и перейдите в раздел Конфигурация компьютера (Computer Configuration)→Административные шаблоны (Administrative Templates)→Google→Google Chrome→Расширения (Extensions).

7. Включите политику Создать список приложений и расширений, устанавливаемых принудительно (Configure the list of force-installed apps and extensions) и укажите идентификатор расширения (указан в имени файла CRX) и путь к XML-файлу в каталоге созданного в шаге 2 веб-приложения chromeplugin. Сохраните внесенные изменения. 

   

8. Включите политику Настроить источники для установки расширений, приложений и пользовательских скриптов (Configure extension, app, and user script install sources) и укажите адрес сервера, на котором развернуто созданное в шаге 2 веб-приложение chromeplugin. Сохраните изменения.

   

9. Распространите действие объекта групповой политики на рабочие станции пользователей с установленным ESSO Agent.

10. Расширение автоматически загрузится и установится после применения групповой политики к рабочей станции. Может потребоваться до нескольких минут для того, чтобы оно отобразилось в списке установленных в браузере. Установленное через групповые политики расширение отмечено соответствующим символом.

    

Работа Indeed AM Single Sign-On

Работа ESSO Agent заключается в отслеживании запуска приложений и автоматическом заполнении полей и форм данными, необходимыми для получения доступа в приложение:
имя пользователя, пароль и т.п.

Автоматическое заполнение полей данными происходит только после подтверждения личности пользователя с применением поддерживаемой технологии аутентификации. Таким образом, Indeed AM Single Sign-On избавляет пользователей от необходимости запоминания, записи, хранения, ручного ввода паролей для выполнения входа в приложение.

Благодаря централизованному хранению SSO-профилей пользователи получают доступ в приложения
с любой рабочей станции, где установлен компонент ESSO Agent.

Поддержка в ESSO Agent технологий аутентификации, специально адаптированных для использования в терминальной среде и не требующих установки дополнительного оборудования, дает возможность
работать на «неподготовленном» компьютере и использовать тонкие клиенты на базе Windows CE, Linux, Wyse и т.п.

Единый доступ в приложения по технологии аутентификации Indeed

Доступ в приложения с использованием аутентификатора становится возможен после настройки учетной записи приложения, профиля пользователя и регистрации аутентификатора.

Для получения доступа в приложение выполните следующие действия:

1. Выполните вход на рабочую станцию. В панели задач отобразится всплывающее сообщение об открытии сессии Single Sign-On.

   

2. ESSO Agent запускается автоматически при входе в операционную систему. Для запуска вручную выберите пункт Indeed AM→AM SSO→AM SSO-Агент в меню Программы.

Выбор целевого приложения

Для выбора целевого приложения выполните одно из следующих действий:

1. Нажмите [Ctrl]+[Alt]+[Q] или откройте приложение Indeed AM SSO Agent двойным щелчком по значку в области уведомлений Windows.

   

2. Правой кнопки мыши нажмите значок в области уведомлений Windows, появится контекстное меню приложения Indeed-Id ESSO Agent и выберите пункт Быстрый запуск. 

   

В окне Выбор приложения доступны приложения, разрешенные для запуска с помощью ESSO Agent.

Вид окна Выбор приложения определяется настройками ESSO-приложений. На рисунке ниже представлена ситуация, когда у целевого приложения один исполняемый файл.

Информация

Если для одного целевого приложения настроено несколько учетных записей SSO, то после выбора приложения потребуется выбрать учетную запись.

Если приложение содержит в себе несколько компонентов (например, приложение «1С: Предприятие» может содержать в себе приложения «1С: Бухгалтерия», «1С: Управление Торговлей» и т.д.), то исполняемые файлы каждого компонента группируются для удобства выбора в панели быстрого запуска под одним именем.

На рисунке ниже приведен пример группировки нескольких компонентов 1С под одним именем «1С: Предприятие».

После выбора приложения потребуется выбрать учетную запись, если их несколько для выбранного приложения.

Аутентификация

Для аутентификации в приложении выполните следующие действия:

1. Выберите имя пользователя и способ входа. По умолчанию операционная система предлагает последний использованный способ. Следуйте подсказкам на экране и предоставьте обученный аутентификатор. При наличии нескольких обученных аутентификаторов используйте любой из них.

   

2. Для выбора аутентификатора нажмите Сменить способ входа.

   

3. После аутентификации отображается окно входа в целевое приложение. В поля Имя пользователя и Пароль автоматически подставляются данные, указанные при создании учетной записи SSO, и выполняется вход в приложение. 

   Помимо автоматической подстановки учетных данных в форму входа приложения, поддерживается и ручной ввод логина и пароля. Указанные при первом входе в приложение логин и пароль запоминаются и будут автоматически подставлены при следующем входе.

   При отмене аутентификации вход в приложение не будет выполнен: текущая форма приложения или само приложение будет закрыто.

4. Если в настройках запуска приложения администратором определен параметр запуска приложения только при помощи ESSO Agent и настроено требование аутентификации при входе в приложение, то в случае отмены аутентификации отобразится сообщение об ошибке.

   

Доступ к целевым приложениям регулируется административными настройками. Некоторые приложения могут быть запрещены для запуска администратором ESSO. Запрещенные приложения недоступны в окне Выбор приложения. При попытке запуска запрещенного приложения отображается сообщение об ошибке A device attached to the system is not functioning.

Смена пользователя

Для изменения пользователя ESSO выполните следующие действия:

1. Выполните вход в операционную систему и перейдите в контекстное меню ESSO Agent.

2. Откройте приложение Indeed AM SSO Agent двойным щелчком по значку в области уведомлений Windows.

   

3. Правой кнопки мыши нажмите значок в области уведомлений Windows, в появившемся контекстном меню приложения Indeed AM SSO agent выберите пункт Сменить пользователя...

   

4. В окне Вход в SSO введите имя учетной записи, под которой требуется выполнить вход в приложение.

   

5. Выполните аутентификацию по имеющимся у выбранного пользователя аутентификаторам. В случае успешной аутентификации ESSO Agent откроет сессию SSO выбранного пользователя.

   

Вход в целевое приложение при отсутствии сети

Вход в приложение по аутентификатору может быть выполнен даже при отсутствии физического подключения к сети. Действия при входе в приложение в отсутствие сети по кешированному аутентификатору аналогичны действиям при входе в приложение по аутентификатору при доступной сети.

Данный способ входа доступен, если:

• для вашей учетной записи было установлено разрешение на кеширование аутентификаторов;
• было выполнено кеширование аутентификаторов (при первом входе в систему по аутентификатору);
• был выполнен вход в приложение по кешированному аутентификатору при доступной сети;

Срок действия аутентификаторов

Срок действия кешированных аутентификаторов может быть ограничен администратором системы.

По умолчанию этот срок составляет 10 дней, отсчитывается с даты последнего входа в приложение и не зависит от того, будет ли выполнен вход в приложение в дальнейшем в течение этого срока.Например, при установленном сроке 10 дней и выполнении входа в приложение в 10 ч 00 мин 12.04.2010 кешированные аутентификаторы будут действительны с 10 ч 00 мин 12.04.2010 до 10 ч 00 мин 22.04.2010.

Если для вашей учетной записи разрешено кеширование аутентификаторов, то уточните у администратора наличие возможных ограничений.

Если срок действия кешированных аутентификаторов истек и серверы Indeed недоступны, при попытке входа в приложение отображается сообщение об ошибке Ошибка при входе в систему. Сервер не найден. Кеширование данных пользователя запрещено.

Настройка входа в целевое приложение при отсутствии сети

В случаях, когда отсутствует соединение с Core Server, пользователи могут пройти аутентификацию в ESSO Agent в офлайн-режиме. Для этого используется сессия, закешированная на компьютере пользователя.

Для настройки входа по закешированной сессии, используйте политику «Настройки публичного ключа сеанса».

Чтобы настроить вход в офлайн-режиме, выполните следующее:

1. Добавьте файл политики IndeedID.SessionPublicKey.admx (расположена в каталоге indeed AM <номер версии>\Misc\ADMX Templates) на компьютер с установленным ESSO Agent.
2. В поле Публичный ключ сессии введите значение публичного ключа, сгенерированного при установке Core Server (сохраняется в файле SessionPublicKey.pub).

Настройка хранения сессии в кеше

При кратковременных разрывах подключения к серверу Indeed Access Manager вы можете настроить период, в течение которого сессию можно будет использовать повторно.

В течение заданного периода сессия хранится в кеше и может быть повторно использована при запросе на новое соединение с сервером. При этом проверка работоспособности сервера повторно не происходит, вместо этого используется закешированный результат проверки.

По истечении периода хранения сессия завершается. По новому запросу на соединение с сервером создается новая сессия.

Раздел	Параметр	Тип	Значение по умолчанию
SrvLocator2	SessionHoldPeriodMs	DWORD	3 минуты

Управление паролем

ESSO Agent предусматривает регулярную смену пароля в приложениях. Как правило, пароль меняется автоматически.

Самостоятельная ручная смена пароля регулируется установками администратора ESSO. Если ручная смена пароля разрешена, при очередной смене пароля новое значение пароля не генерируется автоматически, а запрашивается у пользователя.

Поведение при запросе нового пароля у пользователя зависит от типа учетной записи пользователя, выбранного администратором Indeed AM ESSO.

Если администратором настроена ручная смена пароля пользователем, то при смене пароля отобразится следующее окно.

Введите новый пароль и подтвердите его.

• Режим ввода пароля (скрытый пароль/открытый ввод символов) регулируется нажатием кнопки Открыть пароль
• При нажатии кнопки Генерировать случайный пароль выполняется автоматическая генерация пароля в соответствии с установленными для данного приложения ограничениями;
• Сгенерированный пароль автоматически вставляется в поле Пароль, при этом включается функция Открыть пароль и очищается поле Подтверждение пароля;

При вводе нового пароля в стандартном режиме выполняется проверка пароля на соответствие критериям сложности, установленным для данного приложения. В случае несоответствия пароля критериям сложности отображается сообщение об ошибке.

Если учетная запись ESSO относится к типу Учетные данные Active Directory, при смене пароля отображается следующее сообщение.

Команды Indeed ESSO Агент

Нажатием правой кнопкой мыши по значку приложения Indeed ESSO Agent в панели уведомлений Windows вы можете вызвать контекстное меню. В меню доступны следующие команды:

• Сменить пользователя — выбрать другую учетную запись для получения доступа в приложение. При выборе команды отображается окно Вход в SSO со списком доступных учетных записей и возможностью выбрать способ входа. По умолчанию используется способ, при помощи которого выполнялся последний вход пользователя.

• Отключить быстрые клавиши — отключить использование комбинаций клавиш (по умолчанию все комбинации включены):

  • [CTRL]+[ALT]+[Q] — вызов окна быстрого запуска;
  • [CTRL]+[ALT]+[U] — обновление данных ESSO;
  • [CTRL]+[ALT]+[R] — принудительная обработка формы приложения («рематчинг»);

• Быстрый запуск — выполняется при выборе соответствующего пункта в контекстном меню ESSO Agent или при нажатии комбинации [CTRL]+[ALT]+[Q] и предоставляет доступ к списку приложений, разрешенных для запуска (открывается окно Выбор приложения).

Примечание

Приложение не отображается в списке, если ESSO Agent не может найти его исполняемый файл на рабочей станции пользователя.

• Обновить данные — загрузить изменения профиля SSO. Примеры сообщений приведены на рисунках ниже:

  • Обновление данных ESSO

    

    

  • Новые данные ESSO получены

    

    

  • Ошибка обновления данных:

    

    

Обработка ошибок

При возникновении ошибок во время работы (например, ошибка заполнения формы) ESSO Agent предоставляет возможность выбора действия для обработки ошибки. В таких случаях отображается окно Обработка ошибки.

В окне Обработка ошибки предлагаются варианты действий (после выбора действия окно закроется автоматически):

• Повторить — операция, в ходе которой возникла ошибка, будет выполнена повторно.
• Завершить приложение — приложение, при работе с которым возникла ошибка, будет завершено. Не сохраненные данные будут потеряны.
• Закрыть окно — будет закрыто текущее окно или форма приложения. При закрытии главного окна приложение может быть завершено.
• Игнорировать — не будет предпринято никаких действий.