Приложения
В этом разделе вы можете добавить приложения, интегрированные с модулями ESSO Agent и NPS Radius Extension, в систему Indeed AM.
Для добавления приложений необходима регистрация лицензии соответствующего модуля.
Остальные компоненты системы не требуют отдельного добавления, они автоматически добавляются в систему после регистрации лицензии.
Приложения для модуля NPS Radius Extension
Перед добавлением интегрированного приложения вы должны выполнить следующие предварительные действия:
- настроить модуль NPS Radius Extension;
- установить и настроить провайдеры аутентификации;
- интегрировать бизнес-приложение с NPS Radius Extension.
Примеры интеграции бизнес-приложений:
- Настройка Cisco ASA для аутентификации через Indeed NPS RADIUS Extension
- Настройка FortiGate VM для двухфакторной аутентификации через Indeed NPS Radius Extension
- Установка и настройка аутентификации по ОТР в Citrix Netscaler
Добавление приложений для модуля NPS Radius Extension
Чтобы добавить приложение, интегрированное с NPS Radius Extension, выполните следующие действия:
В Management Console нажмите Приложения.
Нажмите кнопку Добавить приложение.
В появившемся окне выберите NPS Radius Extension и введите название приложения. Нажмите кнопку Создать.
Важно- название приложения должно быть уникальным;
- нельзя добавить еще одно приложение, если вы не изменили IP-адрес по умолчанию у ранее добавленного приложения.
Далее необходимо настроить добавленное приложение:
Перейдите в список приложений и выберите название недавно созданного приложения.
Измените значение поля IP-адрес сервера приложений. Вы можете указать несколько значений через запятую.
Поддерживаются форматы IPv4, IPv6. Также вы можете использовать маску/префикс для указания подсети.
Примеры адресовКорректные адреса:
- 192.168.0.1/24
- 172.16.3.251
- 10.0.0.1
- 21:db8:58:74:1c60:2c18::4/64
Некорректные адреса:
- 192.168.0.300 — некорректный IPv4;
- 172.16.3.251/33 — некорректная маска сети;
- fe80::1%eth0 — некорректный IPv6;
- 21:db8:58:74:1c60:2c18:0:4/129 — некорректная маска сети;
- example.com — не является IP-адресом.
ВажноВсе приложения, работающие через NPS (Network Policy Server) с установленным Radius Extension, должны быть добавлены в Access Manager в разделе Приложения, даже если аутентификация не будет производиться через Access Manager. Вход в недобавленные приложения будет невозможен.
Опционально выдайте права на доступ в приложения для тех пользователей, на которых не распространяются правила Access Manager (например, для пользователей из другого домена).
Настройка приложений для компонента NPS Radius Extension
Добавление в политику
Чтобы добавить приложение NPS Radius Extension в политику, выполните следующие действия:
- Перейдите в раздел Политики.
- Выберите политику из списка.
- На странице политики в меню слева выберите Приложения.
- Нажмите кнопку Добавить приложение.
- Из выпадающего списка выберите добавленное приложение.
Настройка аутентификатора
Для приложений, интегрированных с Radius Extension, может быть выбран только один способ входа. При добавлении приложения в политику по умолчанию включается первый способ входа из доступных.
Доступные способы входа:
- Software TOTP;
- Secured TOTP;
- Passcode;
- SMS OTP;
- Telegram (только в режиме отправки одноразовых паролей);
- Email OTP;
- Indeed Key;
- Hardware HOTP;
- Hardware TOTP;
- Passcode + Software TOTP;
- Passcode + Indeed Key;
- Passcode + Secured TOTP;
- Windows Password + Secured TOTP.
В списке доступных методов аутентификации отображаются провайдеры, доступные на вашем сервере Аccess Мanager и поддерживаемые RADIUS-приложениями.
Чтобы выбрать способ входа для приложения, выполните следующие действия:
- Выберите политику.
- В меню слева в разделе Приложения выберите приложение.
- В списке Метод аутентификации выберите провайдер.
- Сохраните изменения.
Повторные запросы на аутентификацию
Это необязательная настройка. Используйте эту настройку только если вы наблюдаете дублирование запросов на аутентификацию. Это может происходить, например, когда пользователь не успевает подтвердить вход через push-уведомление и получает его повторно.
Запрос считается повторным, если значения всех указанных вами атрибутов в настройке совпадают со значениями в кешированном запросе. При обнаружении повторного запроса вы можете отклонить или проигнорировать запрос. При игнорировании сервер Radius не отправляет ответ на повторный запрос, при отклонении отправляет ответ Access-Reject.
В качестве атрибутов могут выступать имя пользователя, пароль, IP-адрес, с которого отправляется запрос на аутентификацию, и т.д. Атрибуты указываются в виде чисел. Подробнее о поддерживаемых атрибутах вы можете узнать в этой статье.
Вы можете указать несколько значений атрибутов через запятую. По умолчанию заданы 1 (User-Name) и 264 (Request authenticator).