Indeed AM Secured TOTP Provider

Indeed AM Secured TOTP — это провайдер с привязкой к идентификатору устройства пользователя.

Секретный ключ для генерации одноразового кода зашифрован и расшифровывается только ключом на основе идентификатора устройства. Таким образом, регистрация конкретного аутентификатора возможна лишь на одном устройстве.

Secured TOTP может быть использован для аутентификации в следующих модулях:

• Identity Provider,
• ADFS Extension,
• FreeRadius Extension,
• RDP Windows Logon,
• Windows Logon.

Идентификаторы провайдера для интеграции с модулем FreeRadius Extension

{F15FD7EC-19EA-4384-846E-A2D0BE149FA2} — Secured TOTP
{882C1787-FD32-44A2-BA89-F1F529FBE7AB} — Passcode + Secured TOTP
{7F3DE86F-59D1-4476-AA5D-F277E5DD5938} — Windows Password + Secured TOTP

Установка провайдера Secured TOTP

Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

Предварительные требования

Для работы провайдера необходимы следующие условия:

• установлен провайдер Secured TOTP,
• установлено мобильное приложение Indeed Key версии 2.6 и выше,
• для регистрации Secured TOTP по ссылке из письма необходимы:
  • установленный и настроенный провайдер Email OTP,
  • заполненный email пользователя в каталоге Active Directory.

На сервере с Linux

Чтобы установить провайдер на сервере с операционной системой Linux, выполните следующие действия:

1. Откройте файл am/.env.
2. В переменной COMPOSE_PROFILES добавьте значение secured-totp.

На клиентских машинах с Windows

Чтобы установить провайдер на клиентских машинах с операционной системой Windows, выполните следующие действия:

1. Из папки Indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Secured TOTP Provider\<Номер версии> запустите пакет IndeedAM.AuthProviders.SecuredTOTP-<номер версии>.<разрядность>.ru-ru.msi.

2. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие. После завершения установки может потребоваться перезагрузка системы.

Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка провайдера Secured TOTP в Management Console

Для настройки провайдера Secured TOTP в Management Console перейдите в раздел Конфигурация→Аутентификаторы и выберите аутентификатор Secured TOTP.

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

1. В секции Основные настройки выполните следующие настройки:
   • В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
2. В секции Доступные пользователю действия выполните следующие настройки:
   • В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы.
   • В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы.
   • В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы.
   • В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.

Принудительная проверка аутентификатора

Для регистрации аутентификатора можно настроить принудительную проверку аутентификатора.

1. В разделе Основные настройки включите принудительную проверку. При регистрации появится дополнительное окно подтверждения для ввода данных аутентификации.
2. Введите полученные данные аутентификации и нажмите Подтвердить.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, перейдите в секцию Настройки блокировки аутентификатора и выполните следующие настройки:

1. Разрешите или заблокируйте использование Secured TOTP в случае серии неудачных попыток аутентификации.
2. В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации.
3. В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик.
4. В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Генерация одноразового пароля

В секции Настройки OTP выполните следующие настройки:

1. В настройке Период обновления OTP укажите, на протяжение какого времени будет актуален одноразовый пароль.
2. В настройке Количество периодов сравнения укажите, сколько периодов обновления OTP должно пройти, по истечении которых пароль будет считаться недействительным.
3. В настройке Формат имени пользователя задайте имя пользователя, которое будет передаваться в мобильное приложение.
4. В настройке Отображаемое имя сервера задайте имя сервера, которое будет передаваться в мобильное приложение.
5. В настройке Количество цифр в OTP-коде выберите, сколько цифр будет содержать одноразовый пароль.

Регистрация в Management Console

Secured TOTP можно зарегистрировать по ссылке из письма или по QR-коду. В Management Console доступны оба способа регистрации.

Для регистрации по ссылке из письма необходимы следующие условия:

• установленный и настроенный провайдер Email OTP,
• установлено мобильное приложение Indeed Key версии 2.6 и выше,
• заполненный email пользователя в каталоге Active Directory.

Ссылка отправляется на электронный адрес, указанный для пользователя в каталоге Active Directory. Опционально вы можете продублировать ссылку на другой электронный адрес, например руководителю сотрудника.

Чтобы зарегистрировать аутентификатор по email, выполните следующее:

1. В Management Console в настройке Способ регистрации аутентификатора в Management Console выберите способ регистрации аутентификатора по email.
2. Укажите текст темы электронного письма.
3. Укажите текст сообщения электронного письма. Ссылка на регистрацию указывается специальным тегом <regLink>.
4. Укажите текст ссылки, чтобы заменить написание в явном виде.
5. Далее перейдите в раздел Пользователи, выберите пользователя, выберите вкладку Аутентификаторы.
6. Нажмите кнопку Зарегистрировать и выберите из списка Secured TOTP.
7. В открывшемся окне введите идентификатор устройства пользователя. Его можно получить в настройках приложения Indeed Key и скопировать или отправить кнопкой Поделиться. Опционально на этом шаге вы можете указать дополнительные электронные адреса через запятую.
8. Нажмите кнопку Далее. После этого пользователю придет письмо со ссылкой на регистрацию аутентификатора. По ссылке пользователь перейдет в приложение Indeed Key, где начнется регистрация аутентификатора.
9. В Management Console нажмите кнопку Сохранить.

Конфигурация ссылки на регистрацию Secured TOTP (и скачивание Indeed Key)

Ссылку на регистрацию Secured TOTP и скачивание приложения Indeed Key можно задать вручную.

1. Перейдите в раздел Конфигурация→Аутентификаторы в секцию Настройки регистрации.

2. В настройке Адрес сервера, участвующий в формировании ссылки на регистрацию аутентификатора (диплинк) укажите ссылку для регистрации, отправляемую по еmail.

   Доступны следующие ссылки для регистрации (в скобках указано местонахождение сервера):

   • https://indeedkey.drru.agconnect.link (Россия)
   • https://indeedkey.dre.agconnect.link (Германия)
   • https://indeedkey.drcn.agconnect.link (Китай)
   • https://indeedkey.dra.agconnect.link (Сингапур)

3. В секции Дополнительные настройки укажите ссылку для скачивания Indeed Key.

   Доступны следующие ссылки для скачивания (в скобках указано местонахождение сервера):

   • https://indeedkey.drru.agconnect.link/XwZr (Россия)
   • https://indeedkey.dre.agconnect.link/MJyW (Германия)
   • https://indeedkey.drcn.agconnect.link/NDbK (Китай)
   • https://indeedkey.dra.agconnect.link/i1RD (Сингапур)

Регистрация в User Console

Пользователь может зарегистрировать новый аутентификатор в User Console, если администратор разрешил пользователю регистрировать новые аутентификаторы в настройках Secured TOTP в Management Console.

На устройстве пользователя должно быть установлено приложение Indeed Key 2.6 и выше.

Чтобы зарегистрировать аутентификатор по QR-коду, выполните следующее:

1. В Management Console в разделе Доступные пользователю действия разрешите пользователю регистрировать новые аутентификаторы Secured TOTP.
2. В настройке Способ регистрации аутентификатора в User Console выберите способ регистрации аутентификатора по QR-коду.
3. В User Console у пользователя в списке доступных аутентификаторов появится Secured TOTP.

Пользователю нужно выполнить следующие действия:

1. Нажать значок шестеренки.
2. Нажать кнопку Зарегистрировать.
3. Сканировать появившийся код устройством с открытым приложением Indeed Key.
4. Если настроена принудительная проверка аутентификатора, дополнительно ввести полученный одноразовый пароль.