Indeed AM MFA Provider

Провайдер Indeed AM Multi-factor authentication Provider (MFA) позволяет задать последовательность провайдеров в цепочке многофакторной аутентификации.

MFA Provider может быть использован для аутентификации в следующих модулях:

• Windows Logon,
• FreeRadius Extension.

Идентификатор провайдера

{070719BA-EB57-4EA8-BB4D-D15A33E7363D}

Установка провайдера MFA

Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

На клиентских машинах с Windows

Чтобы установить провайдер на клиентских машинах с операционной системой Windows, выполните следующие действия:

1. Из папки Indeed AM <Номер версии>\Indeed AM Providers\Indeed AM MFA Provider\Client\<Номер версии> запустите пакет IndeedID.MFA.Provider.msi.

2. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие. После завершения установки может потребоваться перезагрузка системы.

Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Файлы шаблонов политик расположены в папке Indeed AM <номер версии>\Misc\ADMX Templates.

На сервере с Linux

Чтобы установить провайдер на сервере с операционной системой Linux, выполните следующие действия:

1. Откройте файл am/.env.
2. В переменной COMPOSE_PROFILES добавьте значение mfa.

Настройка провайдера

1. Убедитесь, что в access-manager.docker-compose.yml в параметре volumes не закомментирована строка с auth-mfa.

2. В конфигурационном файле am/core/app-settings.json в блоке PlatformCompatibility для параметра Registry в теге "File": укажите название файла, в котором будут прописываться настройки провайдера MFA. Значение по умолчанию server-registry.json. Остальные параметры не изменяйте.

3. Откройте файл am/core/server-registry.json и добавьте строки со следующими параметрами:

   • KeyName — имя ключа в реестре, не изменять;
   • ValueName — имя значения, можно изменять;
   • StringValue — указание цепочки многофакторной аутентификации;
   • StringArrayValue — указание идентификаторов провайдеров в цепочке.
   Пример

   {
        “KeyName”: “HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Indeed-Id\\BSPs\\MFA”,
        “ValueName”: “MFADeviceName”,
        “StringValue”: “WP + STOTP”
    },
    {
        “KeyName”: “HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Indeed-Id\\BSPs\\MFA”,
        “ValueName”: “BSPChain”,
        “StringArrayValue”: [
            “{CF189AF5-01C5-469D-A859-A8F2F41ED153}”,
            “{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}”
        ]
    }

4. Сохраните изменения в файле и перезапустите контейнер с приложением.

5. Перейдите к настройке цепочки многофакторной аутентификации.

   Важно

   Провайдеры цепочки многофакторной аутентификации, указанные в am/core/app-settings.json, должны совпадать с провайдерами в групповой политике.

Список поддерживаемых провайдеров для Windows Logon

SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} 
Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529} 
Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} 
Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556} 
Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}

Список поддерживаемых провайдеров для FreeRadius Extension

Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556}
Hardware TOTP {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
Software TOTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}

Пример аутентификации

В примере используется компонент Indeed AM Windows Logon и цепочка провайдеров Indeed AM Passcode + Indeed AM SMS OTP.

Чтобы выполнить вход с помощью MFA Provider, выполните следующее:

1. Выберите провайдер аутентификации Многофакторная аутентификация.

   

2. Введите данные для первого провайдера в цепочке. 

   

3. Введите данные для второго провайдера в цепочке и выполните вход.

   

Настройка провайдера Multi-factor authentication в Management Console

Для настройки MFA в Management Console перейдите в раздел Конфигурация→Аутентификаторы и выберите аутентификатор Multi-factor authentication.

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

1. Перейдите в секцию Основные настройки.
2. В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, в секции Настройки блокировки аутентификатора выполните следующие настройки:

1. Разрешите или заблокируйте использование MFA в случае серии неудачных попыток аутентификации.
2. В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации.
3. В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик.
4. В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.