Indeed AM Email OTP Provider

Компонент Email OTP Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям по электронной почте.

Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на сервис рассылки электронной почты, который пересылает его пользователю в виде письма. Передача данных происходит по протоколу SMTP (Simple Mail Transfer Protocol).

Идентификатор провайдера

{093F612B-727E-44E7-9C95-095F07CBB94B}

Установка провайдера Email OTP

Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

Предварительные требования

Для использования Email OTP Provider необходимо наличие сервера электронной почты. Данный сервер должен быть доступен с каждого сервера Indeed Access Manager, на котором предполагается установка Email OTP Provider.

Для использования аутентификатора у пользователя должен быть задан адрес электронной почты в атрибуте mail, иначе аутентификатор будет не доступен для использования. 

Регистрация аутентификатора в User Console не требуется.

На сервере с Linux

Чтобы установить провайдер на сервере с операционной системой Linux, выполните следующие действия:

1. Откройте файл am/.env.
2. В переменной COMPOSE_PROFILES добавьте значение amsmtp.

На клиентских машинах с Windows

Чтобы установить провайдер на клиентских машинах с операционной системой Windows, выполните следующие действия:

1. Из папки Indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Email OTP Provider\Server\<Номер версии> запустите пакет IndeedAM.AuthProviders.AMSMTP-<номер версии>.<разрядность>.ru-ru.msi.

2. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие. После завершения установки может потребоваться перезагрузка системы.

Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Файлы шаблонов политик расположены в папке Indeed AM <номер версии>\Misc\ADMX Templates*.

Настройка атрибута с электронной почтой

Чтобы изменить значение атрибута по умолчанию, добавьте следующие параметры в конфигурационный файл сервера am/core/app-settings.json: 

1. В секцию Ldap добавьте параметр userMapRules.
2. В параметр userMapRules добавьте параметр Attributes.
3. В Attributes добавьте параметр Email и задайте ему значение, соответствующее необходимому атрибуту из Active Directory.

Пример

"Ldap": [{
  ...
  "userMapRules": {
    "Attributes": {
      "Email": "otherMailbox"
    }
  }
}

Настройка провайдера Email OTP в Management Console

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Email OTP.
2. В секции Основные настройки выполните следующие настройки:
   • В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, выполните следующее:

1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Email OTP.
2. В секции Настройки блокировки аутентификатора выполните следующие настройки:
   • Разрешите или заблокируйте использование Email OTP в случае серии неудачных попыток аутентификации;
   • В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации;
   • В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик;
   • В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Защита от спама

Механизм защиты от спама основан на расчете процента успешных аутентификаций относительно всех отправленных сообщений за указанный интервал времени. При этом расчет запускается, только если количество отправленных сообщений превышает количество, заданное вами в настройке Окно оценки.

При обнаружении спам-атаки дальнейшая отправка сообщений блокируется на заданный период времени, а при попытке входа возникает ошибка Potential spam attack detected.

Отправка сообщений возобновляется либо по истечении заданного периода, либо по достижении определенного количества (в процентном отношении) успешных аутентификаций.

Чтобы настроить защиту от спама, выполните следующее:

1. В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор.
2. В секции Настройки защиты от спама выполните следующие настройки:
   • включите или отключите защиту от спама;
   • в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
   • в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
   • в поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.

Пример

Настройка включена со следующими значениями:

• Окно оценки попыток аутентификации — 600
• Пороговое окно попыток аутентификации — 20
• Процент успешных попыток аутентификации — 85

Защита от спама включится, если произойдет 21 попытка входа (отправлено 21 сообщение). Произойдет блокировка аутентификатора на 600 секунд.

Аутентификатор разблокируется в одном из случаев:

• процент успешных входов (пользователь успешно ввел одноразовый пароль из сообщения) достигнет значения 85;
• прошло 600 секунд с момента блокировки.

Информация

События лог-сервера:

• 2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

• 1118: Отправка сообщений пользователям возобновлена.

Настройки SMTP-сервера

Чтобы задать настройки для работы с SMTP-сервером, перейдите в секцию Настройки SMTP и выполните следующие действия:

1. Укажите адрес подключения к серверу (DNS-имя, IP-адрес).
2. Укажите порт подключения к серверу.
3. Укажите имя учетной записи для подключению к серверу и пароль учетной записи для подключения к серверу.
4. В поле Тип соединения выберите необходимое значение:
   • Незащищенное
   • TLS
   • SSL
5. В поле Таймаут сервера укажите время ожидания ответа от сервера в секундах.

Настройки Email

1. В секции Настройки Email укажите почту и имя отправителя, тему и текст письма.
2. В поле Текст письма необходимо указать место вставки одноразового пароля с помощью тега <otp>.
3. Из выпадающего списка Формат даты выберите формат, в котором будет отображаться дата (или дата и время) отправки сообщения.

Настройка одноразового пароля

Настройки применяются к серверам Indeed AM и позволяет задать длину и вхождение групп символов при генерации одноразового пароля.

Чтобы настроить генерацию одноразового пароля, в секции Настройки генерации одноразового пароля выполните следующие настройки:

1. В поле Длина одноразового пароля укажите, сколько символов будет содержать одноразовый пароль;
2. В настройке Цифры укажите, будет ли одноразовый пароль содержать цифры;
3. В настройке Строчные латинские буквы укажите, будет ли одноразовый пароль содержать строчные латинские буквы;
4. В настройке Прописные латинские буквы укажите, будет ли одноразовый пароль содержать прописные латинские буквы;
5. В настройке Специальные символы укажите, будет ли одноразовый пароль содержать специальные символы.