Indeed RDP Windows Logon

Модуль Indeed RDP Windows Logon (RDP Windows Logon) позволяет реализовать двухфакторную аутентификацию с помощью Indeed Access Manager в процессе подключения по протоколу RDP (Remote Desktop Protocol) или в приложении Remote App.

В качестве второго фактора могут выступать:

• push-уведомления с подтверждением входа в мобильном приложении Indeed Key,
• Email OTP,
• SMS OTP,
• Software OTP,
• Passcode,
• Hardware TOTP,
• Hardware HOTP.

Файлы для установки

Файлы для RDP Windows Logon расположены в папке indeed AM <Номер версии>\Indeed AM RDP Windows Logon\<Номер версии>\.

• Indeed.EA.RDPWindowsLogon-<номер версии>.x64.ru-ru.msi — пакет для установки RDP Windows Logon для 64-битных машин;
• Indeed.EA.RDPWindowsLogon-<номер версии>.x86.ru-ru.msi — пакет для установки RDP Windows Logon для 32-битных машин.

Установка и настройка RDP Windows Logon

Важно!

Перед установкой и настройкой RDP Windows Logon выполните предварительные действия:

1. Включите NLA (Network Level Authentication) для пользователя.
2. При использовании соединения по протоколу HTTPS выполните установку клиентского сертификата на каждый сервер Indeed.

1. Выполните установку RDP Windows Logon через запуск соответствующего пакета.

2. Откройте редактор реестра Windows.

3. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID создайте раздел RemoteAuth.

4. В разделе RemoteAuth создайте: 

   • Строковый параметр ProviderId и задайте значение, соответствующее используемому провайдеру.

     ProviderId может иметь следующие значения:

     • SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
     • Email OTP {093F612B-727E-44E7-9C95-095F07CBB94B}
     • Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
     • Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
     • HOTP Provider {AD3FBA95-AE99-4773-93A3-6530A29C7556}
     • TOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
     • Indeed Key (только в режиме push-уведомлений с подтверждением входа) {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}

     

5. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2 измените следующие параметры:

   • В параметре ServerUrlBase укажите адрес вашего сервера Indeed.

   • В параметре IsIgnoreCertErrors укажите значение 0 или 1. Этот параметр предназначен для проверки сертификата сервера Indeed, при значении 1 ошибки сертификата игнорируются.

     

Для настройки выбора провайдера аутентификации на стороне пользователя выполните следующее:

1. В реестре Windows в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создайте параметр DWORD с именем IsAuthSelectionEnabled.

2. Определите значение параметра IsAuthSelectionEnabled, равное 1.

   Если параметр не задан или его значение равно 0, то выбор провайдера аутентификации предоставляться не будет. В этом случае будет использоваться провайдер, указанный в значении ProviderId или Indeed AM Passcode Provider, если ProviderId не указан.

   Если IsAuthSelectionEnabled=1 и указан провайдер в ProviderId, то при подключении пользователя будет выбран указанный провайдер, но пользователь сможет выбрать любой другой из числа поддерживаемых.

   

Аутентификация пользователей без лицензии

По умолчанию RDP Windows Logon работает с пользователями, обладающими лицензией AM RDP Windows Logon.

Для включения аутентификации пользователей без лицензии RDP Windows Logon выполните следующее:

1. Откройте редактор реестра Windows. 

2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создайте параметр DWORD с именем AllowNonEAUsers:

   • Если значение параметра AllowNonEAUsers равно 1, то пользователи без лицензии RDP Windows Logon смогут аутентифицироваться по доменному паролю (без использования технологии Indeed).

   • Если значение параметра AllowNonEAUsers равно 0 или не задано, то аутентификация осуществляется только для пользователей с лицензией RDP Windows Logon. Пользователь без лицензии аутентифицироваться не сможет.

     Сценарии работы параметра

     • Если пользователь находится вне пользовательского каталога Indeed — на пользователя действует настройка AllowNonEAUsers, пользователь не сможет аутентифицироваться, если значение параметра не равно 1. 
     • Если пользователь находится в пользовательском каталоге без лицензии, но в политике для пользователя нет приложения или пользователь не состоит в политике — на пользователя действует настройка AllowNonEAUsers, пользователи не смогут аутентифицироваться, если значение параметра не равно 1.
     • Если пользователь находится в пользовательском каталоге без лицензии и в политике пользователя есть приложение — на пользователя не действует настройка AllowNonEAUsers. Всегда происходит попытка входа с автозахватом лицензии.

   

Настройка одновременной работы с модулем Indeed Windows Logon

При условии, что используется сценарий с установкой на одной машине RDP Windows Logon и Windows Logon, необходимо настроить политику для Windows Logon.

Настройку можно выполнить через GPO или реестр.

Через GPO

1. Перейдите на машину, на которой установлены модули RDP Windows Logon и Windows Logon.
2. Откройте редактор GPO.
3. Перейдите к Конфигурация компьютера→Административные шаблоны→ Indeed ID→Windows Logon.
4. Включите политику Настройки Credential Provider и установите параметр Отображение способов входа на Все, кроме пароля.

Через реестр

1. Перейдите на машину, на которой установлены компоненты RDP Windows Logon и Windows Logon.
2. Откройте редактор реестра.
3. Перейдите к Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Logon for Windows.
4. Создайте параметр DWORD с именем CredProvFilter и установите значение 2.

Настройка хранения сессии в кеше

При кратковременных разрывах подключения к серверу Indeed Access Manager вы можете настроить период, в течение которого сессию можно будет использовать повторно.

В течение заданного периода сессия хранится в кеше и может быть повторно использована при запросе на новое соединение с сервером. При этом проверка работоспособности сервера повторно не происходит, вместо этого используется закешированный результат проверки.

По истечении периода хранения сессия завершается. По новому запросу на соединение с сервером создается новая сессия.

Раздел	Параметр	Тип	Значение по умолчанию
SrvLocator2	SessionHoldPeriodMs	DWORD	3 минуты

Пример работы модуля

1. Подключитесь к машине, на которой установлен RDP Windows Logon.

   

2. Укажите пользователя и доменный пароль и нажмите ОК.

   

3. Введите одноразовый пароль.

   

   Примечание

   Если у пользователя нет доступных способов аутентификации, отображается сообщение Нет доступных способов аутентификации. Доступ запрещен. и сессия Remote Desktop завершается.