Indeed AM Software OTP Provider

С помощью Software OTP Provider вы можете реализовать двухфакторную аутентификацию, основанную на программном обеспечении. Аутентификатор представляет собой одноразовый пароль, который пользователь должен предоставить в дополнение к своему логину и паролю, чтобы получить доступ к приложению.

Одноразовый пароль генерируется автономно на мобильном устройстве (телефон, смартфон, планшет) с использованием специализированного приложения (например, Indeed Key, Google Authenticator, Яндекс.Ключ). Генерация одноразового пароля производится на основе двух параметров: секретного ключа, задаваемого на этапе регистрации аутентификатора, и текущего времени.

Технология аутентификации основана на системе, где для заданного секретного ключа пользователя в каждый момент времени существует единственный верный одноразовый пароль. Таким образом, имея информацию о секретном ключе, сервер может проверить переданный пользователем одноразовый пароль. Для правильного функционирования технологии время на мобильном устройстве и сервере аутентификации должно совпадать (при этом допускается погрешность, величина которой может регулироваться администратором).

Идентификатор провайдера

{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}

Идентификатор провайдера для Indeed AM FreeRADIUS Extension

{B772829C-4076-482B-B9BD-53B55EA1A302}

Установка провайдера Software OTP

Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

На сервере с Linux

Чтобы установить провайдер на сервере с операционной системой Linux, выполните следующие действия:

1. Откройте файл am/.env.
2. В переменной COMPOSE_PROFILES добавьте значение software-totp.

На клиентских машинах с Windows

Чтобы установить провайдер на клиентских машинах с операционной системой Windows, выполните следующие действия:

1. Для работы провайдера требуется установка Indeed AM Bsp Broker. Из папки Indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Bsp Broker\<Номер версии> запустите пакет IndeedEA.AuthProviders.BspBroker-<номер версии>.<разрядность>.ru-ru.msi.

2. Из папки Indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Software OTP Provider\<Номер версии> запустите пакет IndeedAM.AuthProviders.SoftwareTOTP.Provider-<номер версии>.<разрядность>.ru-ru.msi.

3. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие. После завершения установки может потребоваться перезагрузка системы.

Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Файлы шаблонов политик расположены в папке Indeed AM <номер версии>\Misc\ADMX Templates*.

Настройка провайдера Software OTP в Management Console

Для настройки Software OTP в Management Console перейдите в раздел Конфигурация→Аутентификаторы и выберите аутентификатор Software OTP.

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

1. В секции Основные настройки выполните следующие настройки:
   • В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
2. В секции Доступные пользователю действия выполните следующие настройки:
   • В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы;
   • В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы;
   • В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы;
   • В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.

Принудительная проверка аутентификатора

1. В разделе Основные настройки включите принудительную проверку. При регистрации появится дополнительное окно подтверждения для ввода данных аутентификации.
2. Введите полученные данные аутентификации и нажмите Подтвердить.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, в секции Настройки блокировки аутентификатора выполните следующие настройки:

1. Разрешите или заблокируйте использование Software OTP в случае серии неудачных попыток аутентификации.
2. В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации.
3. В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик.
4. В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Настройки одноразового пароля

Чтобы настроить генерацию одноразового пароля, в секции Настройки OTP выполните следующее:

1. В настройке Период обновления OTP укажите, на протяжение какого времени будет актуален одноразовый пароль;
2. В настройке Количество периодов сравнения укажите, сколько периодов обновления OTP должно пройти, по истечении которых пароль будет считаться недействительным;
3. В настройке Формат имени пользователя задайте имя пользователя, которое будет передаваться в мобильное приложение;
4. В настройке Алгоритм генерации OTP-кода выберите, по какому алгоритму будет генерироваться одноразовый пароль;
5. В настройке Количество цифр в OTP-коде выберите, сколько цифр будет содержать одноразовый пароль.