Перейти к основному содержимому

Indeed Windows Logon

Indeed Windows Logon (Windows Logon) представляет возможность получать доступ в Windows с использованием технологий строгой аутентификации в среде Microsoft Active Directory. Для этого на рабочие места пользователей устанавливается агент Windows Logon.

Инсталлятор агента реализован как стандартный пакет установщика MSI (Microsoft Windows Installer). Это позволяет оперативно производить установку и обновление системы в массовом порядке с использованием различных инструментов, таких как групповые политики Active Directory, Microsoft System Center Configuration Manager (SCCM) и другие.

Для интеграции с операционной системой Windows используется стандартный механизм для реализации собственного интерфейса аутентификации пользователей Credentials Provider. Данная технология позволяет сторонним разработчикам интегрировать собственные технологии аутентификации с интерфейсом Windows, предоставляет возможность не только выполнять вход в Windows с помощью технологии Indeed AM, но и аутентифицироваться с помощью Indeed AM внутри ОС, например, при доступе к доменным ресурсам, веб-приложениям.

В Windows Logon поддерживаются все технологии аутентификации, доступные в Indeed Access Manager (смарт-карты, карты RFID, одноразовые пароли, биометрические данные).

Установка и настройка Windows Logon

Технологии аутентификации

Windows Logon поддерживает следующие технологии аутентификации:

  • доменный пароль,
  • одноразовые пароли TOTP и HOTP,
  • одноразовые коды через СМС и email,
  • одноразовые коды и push-уведомления в мобильном приложении Indeed Key,
  • смарт-карты и USB-ключи,
  • аутентификация по биометрическим данным.

Оффлайн-режим

Для повышения отказоустойчивости Windows Logon может создавать локальный кеш на компьютере пользователя. Такой кеш содержит аутентификационные данные и используется в моменты, когда отсутствует связь с серверной инфраструктурой (оффлайн-режим), например вследствие обрыва связи или в командировке.

Время жизни локального кеша можно ограничить количеством дней или календарной датой, кеш создается только для тех пользователей, для кого это явно разрешено администратором Indeed AM. Для защиты локальных данных используется технология Windows Data Protection API.

Управление паролями пользователей Active Directory

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей. В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне.

Администратор Indeed Access Manager может настроить систему таким образом, чтобы в момент регистрации первого для пользователя аутентификатора его пароль автоматически менялся на случайное значение, которое не сообщается ни пользователю, ни администратору системы. Таким образом доступ в домен становится возможным только с использованием Windows Logon. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.